ウィークリー・サイバーラウンド・アップ
Earth Krahangがスパイ活動で政府インフラを悪用
2022年初頭から東南アジアを中心に世界の政府機関を標的としている高度持続的脅威(APT)キャンペーンについて、トレンドマイクロの研究者が詳述した。このAPTはEarth Krahangと名付けられ、公開サーバーを悪用。スピアフィッシングメールを使い、RESHELL、XDealerと呼ばれる2つのカスタムバックドアのほか、CobaltStrike、PlugX、ShadowPadを配布している。
さまざまな国を標的とした複数のITG05キャンペーンが観測される
MSecurityIntelligence – March 11, 2024
ロシアの国家支援型脅威アクターITG05との関連が指摘されるMASEPIEバックドアを配布する複数のキャンペーンをIBMの研究者が観測した。2023年11月に始まったこのキャンペーンでは、アルゼンチン、ウクライナ、ジョージア、ベラルーシ、カザフスタン、ポーランド、アルメニア、アゼルバイジャン、米国の合法政府組織や非政府組織を装うルアー文書が使われている。
新たな多段階攻撃キャンペーンDEEP#GOSU、Kimsukyに関連か
Securonixの研究者は、北朝鮮のハッカーグループKimsukyに関連している可能性の高い新たな攻撃キャンペーンDEEP#GOSUを発見した。このキャンペーンでは、複数のPowerShellおよびVBScriptステージャーを使ってWindowsシステムをオープンソースのリモートアクセス型トロイの木馬「TruRat」に密かに感染させる、新たなスクリプトベースの攻撃チェーンが実行されている。
UAC-0006、SmokeLoaderを配布するフィッシングキャンペーンでウクライナを執拗に攻撃
State Site of Ukraine – March 19, 2024
Palo Alto Networks Unit 42の研究者が、ウクライナ国家特殊通信・情報保護局の国家サイバー保護センターと共同で、金銭的な動機を持つ脅威アクターUAC-0006によるSmokeLoaderの使用について詳述した。このグループは2023年5月から11月にかけて、ターゲットから金銭を盗もうとメールを使ったキャンペーンを23回にわたって実施。攻撃の主な標的となったのはウクライナの金融機関や政府組織だった。
Sign1マルウェアキャンペーン、WordPressのHTMLウィジェットにJavaScriptを注入
Sucuriの研究者は2023年後半から、WordPressのカスタムHTMLウィジェットにJavaScriptインジェクションを行うキャンペーンを観測していた。このキャンペーンでは、カスタムCSSやJSプラグインなどを使って新しいマルウェア「Sign1」が配布される。これまでに複数の亜種が確認されており、本稿執筆時点では39,000件以上のサイトが感染しているほか、2,500件以上が最新のSign1の亜種に感染している。このマルウェアインジェクターは不要な広告を表示し、ユーザーをVexTriosドメインにリダイレクトするために使用される。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。