Earth Krahangがスパイ活動で政府インフラを悪用

山口 Tacos

2024.03.22

ウィークリー・サイバーラウンド・アップ

Earth Krahangがスパイ活動で政府インフラを悪用

Trend Micro – March 18, 2024

2022年初頭から東南アジアを中心に世界の政府機関を標的としている高度持続的脅威（APT）キャンペーンについて、トレンドマイクロの研究者が詳述した。このAPTはEarth Krahangと名付けられ、公開サーバーを悪用。スピアフィッシングメールを使い、RESHELL、XDealerと呼ばれる2つのカスタムバックドアのほか、CobaltStrike、PlugX、ShadowPadを配布している。

さまざまな国を標的とした複数のITG05キャンペーンが観測される

MSecurityIntelligence – March 11, 2024

ロシアの国家支援型脅威アクターITG05との関連が指摘されるMASEPIEバックドアを配布する複数のキャンペーンをIBMの研究者が観測した。2023年11月に始まったこのキャンペーンでは、アルゼンチン、ウクライナ、ジョージア、ベラルーシ、カザフスタン、ポーランド、アルメニア、アゼルバイジャン、米国の合法政府組織や非政府組織を装うルアー文書が使われている。

新たな多段階攻撃キャンペーンDEEP#GOSU、Kimsukyに関連か

Securonix – March 18, 2024

Securonixの研究者は、北朝鮮のハッカーグループKimsukyに関連している可能性の高い新たな攻撃キャンペーンDEEP#GOSUを発見した。このキャンペーンでは、複数のPowerShellおよびVBScriptステージャーを使ってWindowsシステムをオープンソースのリモートアクセス型トロイの木馬「TruRat」に密かに感染させる、新たなスクリプトベースの攻撃チェーンが実行されている。

UAC-0006、SmokeLoaderを配布するフィッシングキャンペーンでウクライナを執拗に攻撃

State Site of Ukraine – March 19, 2024

Palo Alto Networks Unit 42の研究者が、ウクライナ国家特殊通信・情報保護局の国家サイバー保護センターと共同で、金銭的な動機を持つ脅威アクターUAC-0006によるSmokeLoaderの使用について詳述した。このグループは2023年5月から11月にかけて、ターゲットから金銭を盗もうとメールを使ったキャンペーンを23回にわたって実施。攻撃の主な標的となったのはウクライナの金融機関や政府組織だった。

Sign1マルウェアキャンペーン、WordPressのHTMLウィジェットにJavaScriptを注入

Sucuri – March 20, 2024

Sucuriの研究者は2023年後半から、WordPressのカスタムHTMLウィジェットにJavaScriptインジェクションを行うキャンペーンを観測していた。このキャンペーンでは、カスタムCSSやJSプラグインなどを使って新しいマルウェア「Sign1」が配布される。これまでに複数の亜種が確認されており、本稿執筆時点では39,000件以上のサイトが感染しているほか、2,500件以上が最新のSign1の亜種に感染している。このマルウェアインジェクターは不要な広告を表示し、ユーザーをVexTriosドメインにリダイレクトするために使用される。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。