APT28の関与が疑われるキャンペーン、正規Ubiquitiデバイスをインフラに使用 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > APT28の関与が疑われるキャンペーン、正規Ubiquitiデバイスをインフラに使用

Threat Report

Silobreaker-WeeklyCyberDigest

APT28の関与が疑われるキャンペーン、正規Ubiquitiデバイスをインフラに使用

Yoshida

Yoshida

2024.02.02

ウィークリー・サイバーラウンド・アップ

APT28の関与が疑われるキャンペーン、正規Ubiquitiデバイスをインフラに使用

HarfangLab – January 29, 2024

HarfangLabの研究者は、ウクライナの政府組織を標的としたAPT28のキャンペーンに関連するとみられる不正なファイルとインフラを新たに特定した。最近明らかにされたこのキャンペーンは2023年12月中旬に始まり、MASEPIE、OCEANMAP、STEELHOOKでウクライナとポーランドの政府組織を攻撃。インフラとして正規のUbiquitiネットワークデバイスを悪用しており、これらのデバイスはバックドアを仕込んだOpenSSHバイナリで事前に侵害されていた。

ロシアの反政府組織と反体制派がスピアフィッシングキャンペーンの標的に

Cluster25 – January 30, 2024

Cluster25の研究者は、ロシアのAPTによるものと思われる新たなスピアフィッシングキャンペーンについて明らかにした。このキャンペーンのターゲットは、ロシア政府を公然と批判し、同国の反体制運動に協調する複数の組織。NASAをテーマにしたルアーを使い、被害者にオープンソースのリバースシェル「HTTP-Shell」を実行させる。また、このキャンペーンに関連すると思われるほかのルアー文書も複数確認された。

スティーラーのAMOSとXehook、Google Chromeのクッキー復元機能を搭載

Cyble – January 25, 2024

Cybleの研究者は、人気のMacアプリケーションを装ったアクティブなフィッシングサイトが、Atomic Stealer(AMOS)の配布に使用されていることを発見した。AMOSは、Google Chromeの期限切れのクッキーを復元する機能を備えてアップデートされている。この出来事に先立ち、あるサイバー犯罪フォーラムで期限切れのクッキーを復元できるコードが無料で公開されていたが、このコードは2023年10月には約500ドルで販売されていた。そして2024年1月20日、新たなインフォスティーラー「Xehook Stealer」がダークウェブ上に出現し、それから数日以内にChromeのクッキーを復元する同様の機能が組み込まれた。

UNC4990、正規サービスを悪用してバックドアQUIETBOARDを配布 感染済みUSBを用いる

Mandiant – January 30, 2024

Mandiantの研究者らは、金銭的な動機を持つ脅威アクターUNC4990の活動を詳しく説明した。このアクターは遅くとも2020年から主にイタリアの組織を標的にしており、初期感染の経路としてUSBデバイスを多用。Ars Technica、GitHub、GitLab、Vimeoなどの正規サービスを悪用し、セカンドステージのマルウェアを配布する。自身が使うツールセットには、バックドアQUIETBOARDをダウンロードするEMPTYSPACEが含まれる。

インドの電話番号7億5,000万件がダークウェブで売りに出される

Cybernews – January 25, 2024

CloudSEKの研究者らは、2組のアクターCyboDevilとUNIT8200が、個人の電話番号7億5,000万件を含む1.8TBのデータベースを売りに出していることを確認した。これらの番号はインドのモバイルネットワーク利用者のものとされているが、影響を受けたサービスプロバイダーは特定されていない。さらにこのデータベースには、氏名、住所、Aadhaar(個人識別番号)の詳細も含まれており、この流出問題により「すべての主要な通信事業者」が影響を受けると研究者らは評価している。

ランサムウェアグループ別の記事数

2024年1月26日〜2月1日までの期間における、ランサムウェアグループ別の記事数分布を示したグラフです。

ランサムウェアグループ別の記事数分布

脆弱性

過去1週間の間にトレンドとなった脆弱性には、以下のようなものがありました。

CVEソフトウェアCVSS基本値CVSS現状値
CVE-2024-23897Jenkins7.5
関連記事:Exploits released for critical Jenkins RCE flaw, patch now
CVE-2024-21893Policy Secure8.2
関連記事:Ivanti warns of new Connect Secure zero-day exploited in attacks
CVE-2023-6246C Library7.8
関連記事:New Linux glibc flaw lets attackers get root on major distros
CVE-2020-3259Cisco ASA7.5
関連記事: Akira ransomware exploits old vulnerability in Cisco ASA and Cisco FTD
CVE-2024-21887Policy Secure9.19.1
関連記事: KrustyLoader – Rust malware linked to Ivanti ConnectSecure compromises

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up(01 February 2024)


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ