複数の国家支援型アクターがLLMをサイバー活動のサポートに悪用 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 複数の国家支援型アクターがLLMをサイバー活動のサポートに悪用

Threat Report

Silobreaker-WeeklyCyberDigest

複数の国家支援型アクターがLLMをサイバー活動のサポートに悪用

佐々山 Tacos

佐々山 Tacos

2024.02.16

ウィークリー・サイバーラウンド・アップ

複数の国家支援型脅威アクターがLLMをサイバー活動のサポートに悪用

Microsoft Threat Intelligence – February 14, 2024

マイクロソフトの研究者はOpenAIと協力し、有害なサイバー活動をサポートする目的でOpenAIの大規模言語モデル(LLM)AIサービスを悪用しようとした国家支援型脅威アクター5組の活動を妨害した。中国系のCharcoal TyphoonとSalmon Typhoon、イラン系のCrimson Sandstorm、北朝鮮系のEmerald Sleet、ロシア系のForest Blizzardに関連するOpenAIのアカウントはすべて停止されている。これらの脅威アクターは、研究向けのオープンソース情報の照会、技術論文の翻訳、コーディングエラーの発見、基本的なコーディングタスクの実行、フィッシングキャンペーンのコンテンツ作成などを通じて、有害なサイバー活動を促進するためにOpenAIのサービスを利用していた。

北朝鮮のOffice 39、マルウェア仕込んだギャンブルサイトを配信していることが判明

The Register – February 15, 2024

韓国の国家情報院(NIS)は、北朝鮮が関与する進行中の詐欺行為を確認した。これは事前にマルウェアを仕込んだギャンブルサイトを悪用するもので、NISの調査により自動ベット機能に有害なコードが含まれていたことが判明した。攻撃者は韓国国民の個人情報約1,100件を販売しようとしたと報告されている。このサイトは北朝鮮のOffice 39(別名Gyeongheung)に関連する脅威アクターによって制作・販売されていると考えられているが、中国のITワーカーが開発したように見せかけているとのこと。また、このサイトは韓国のサイバー犯罪組織に月5,000ドル程度で貸し出されており、中国人のPayPal口座情報を収集することでさらに2,000〜5,000ドルのインセンティブが支払われている可能性もある。

CharmingCypressのキャンペーン、高度な技術使いスピアフィッシングを行う

Volexity – February 13, 2024

Volexityの研究者は2023年から2024年初頭にかけて、イランの脅威アクターCharmingCypressが使ったマルウェアファミリーと配布テクニックを複数確認した。同アクターのスピアフィッシングキャンペーンにより、これまでジャーナリスト、活動家、学者、政策専門家がターゲットになっている。CharmingCypressのフィッシングメールは通常、偽装アカウントから送信され、有害なRARアーカイブに誘導するURLを使ったリダイレクトチェーンを行う。最近のキャンペーンでは、機能面でPOWERSTARとわずかに重複がある新しいVisual Basicマルウェア「BASICSTAR」が配布された。また同グループは最近マルウェアを仕込んだVPNアプリケーションを使っており、ウェビナーポータルへのアクセスを装ったリンクを通じてバックドアのPOWERLESSとNOKNOKを展開していた。

新たなバックドアZardoor、サウジでの執拗なスパイキャンペーンで使われる

Cisco Talos Blog – February 8, 2024

Cisco Talosの研究者は2023年5月、サウジアラビアのイスラム慈善非営利団体を狙い、秘密裏にスパイ活動を行うキャンペーンを確認していた。このキャンペーンはそれまで公表されていなかったZardoorと呼ばれるバックドアが使用されていることから、高度な技術を持つ脅威アクターが仕掛けた攻撃である可能性が高い。この攻撃は遅くとも2021年3月から続いており、月におよそ2回、データの抜き取りが行われている。初期アクセスについては不明のままだが、持続性を確保するためにZardoorが利用されている。C2接続を確立するためにはFast Reverse Proxyなどのオープンソースのリバースプロキシツールが使われており、Visual C Runtimeライブラリへの依存をなくすためにはsSocksのカスタムバージョンが用いられる。その後Windows Management Instrumentationを使って標的のシステム上でプロセスを生成し、C2から受け取ったコマンドを実行することで、ラテラルムーブメントや攻撃者のツールの拡散が行われる。

中国関連キャンペーンPAPERWALL、30か国で現地メディア装い偽情報を流布

The Citizen Lab – February 7, 2024

Citizen Labの研究者は最近、中国との関連が指摘される偽情報キャンペーン「PAPERWALL」を発見した。このキャンペーンは同国の広報会社Shenzhen Haimaiyunxiang Media Co Ltdに関連しているとされ、ヨーロッパ、アジア、南米の30か国で現地メディアを装い、少なくとも123件のWebサイトのネットワークを使って親中国派の内容の偽情報を拡散している。PAPERWALLの主な特徴は、一見無害に見える大量の広告用プレスリリースの中に個人を中傷する内容を紛れ込ませるというもの。中でも注目すべき点は、中国の批評家を標的にした最も攻撃的な記事が、公開後短期間のうちにこれらのWebサイトから削除されてしまう点だ。

ランサムウェアグループ別の記事数

2024年2月9日〜2月15日までの期間における、ランサムウェアグループ別の記事数分布を示したグラフです。

2024年2月9日〜2月15日までの期間における、ランサムウェアグループ別の記事数分布

脆弱性

過去1週間の間にトレンドとなった脆弱性には、以下のようなものがありました。

CVEソフトウェアCVSS基本値CVSS現状値
CVE-2024-21412Microsoft Windows8.1
関連記事:CVE-2024-21412: Water Hydra Targets Traders with Microsoft Defender SmartScreen Zero-Day
CVE-2024-21762FortiOS9.89.4
関連記事:Fortinet Warns of Critical FortiOS SSL VPN Vulnerability Under Active Exploitation
CVE-2024-21410Microsoft Excha…9.89.1
関連記事:Microsoft Warns of Exploited Exchange Server Zero-Day
CVE-2023-36802Microsoft Windows8.87.7
関連記事:Raspberry Robin devs are buying exploits for faster attacks
CVE-2024-21893Ivanti Connect …8.2
関連記事: Ivanti Connect Secure: Journey to the core of the DSLog backdoor

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up(15 February 2024)


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ