APT29、ドイツの政党をWINELOADERで攻撃

Yoshida

2024.03.29

ウィークリー・サイバーラウンド・アップ

APT29、ドイツの政党をWINELOADERで攻撃

Mandiant – March 22, 2024

Mandiantの研究者は2024年2月、ロシアの国家支援型脅威アクターAPT29がドイツの複数政党を狙い、WINELOADERバックドアによる攻撃を行っていたことを観測した。このマルウェアは、キリスト教民主同盟主催のディナーレセプションへの招待を装うフィッシングメールで配布。このフィッシングメールには侵害されたWebサイト上でホストされたROOTSAWドロッパーを含むZIPアーカイブへのリンクが含まれており、ここからWINELOADERが配布された。

StrelaStealerの新たな亜種を使った大規模キャンペーン

Unit 42 – March 22, 2024

Palo Alto Networks Unit 42の研究者は2024年1月、欧州連合および米国の100を超す組織に影響を与える一連のStrelaStealerキャンペーンを確認した。ハイテク、金融、製造の各部門を含む複数の組織が狙われた同キャンペーンでは、Eメールのログインデータを盗むために使用されるStrelaStealerの新たな亜種がスパムメールを通じて配信された。

TA450がイスラエルの標的にAteraAgentを配布　PDFの埋め込みリンクが悪用される

Proofpoint – March 21, 2024

製造、技術、情報セキュリティ各部門のグローバル企業に勤務するイスラエル人従業員を狙い、支払いに関連したソーシャルエンジニアリングのルアーを使うイラン系脅威アクターTA450のフィッシングキャンペーンがProofpointの研究者によって観測された。このキャンペーンは2024年3月7日に開始され、翌週まで継続。遠隔管理ソフト「AteraAgent」をばら撒くことを目的としていた。

TheMoonボットネットの新たな活動、Facelessプロキシサービスに関連か

Lumen – March 26, 2024

Lumen Technologiesの研究者は、世界中の小規模オフィスやホームオフィスのルーターおよびIoTデバイスを標的とするTheMoonマルウェアの改訂版を発見した。この新しい亜種によって2024年1月から2月にかけて88か国で感染が引き起こされており、ボットとして乗っ取られたルーターやデバイスの数は4万台以上となっている。また、これは2024年3月に行われたFacelessプロキシサービス関連のキャンペーン（72時間も経たないうちに6,000台以上のASUSルーターを攻撃したもの）と関係があると考えられている。

フィッシングキットTycoon 2FAの新たなバージョン、難読化と検知対策機能を強化

Sekoia – March 25, 2024

2024年2月12日より、Sekoiaの研究者は、フィッシング・アズ・ア・サービスモデルの下で実際に配布されているAiTM（adversary-in-the-middle）フィッシングキット「Tycoon 2FA」の改訂版を確認していた。Tycoon 2FAは、主にMicrosoft 365のセッションクッキーを取得し、その後の認証時に多要素認証をバイパスすることを目的としている。Sekoiaの研究者は2023年8月以降、Tycoon 2FAのフィッシング用インフラ内で使用されているドメイン名を1,200件以上観測してきた。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。