ウィークリー・サイバーラウンド・アップ
DinodasRATのLinuxバージョン、世界各国の政府機関を標的に
カスペルスキーとCheck Pointの研究者はそれぞれ、高度持続的脅威アクターEarth Krahangとの関連が指摘されているDinodasRAT(Check PointはLinodasと命名)のLinuxバージョンを独自に分析した。このマルウェアは遅くとも2021年から出回っており、中国、台湾、トルコ、ウズベキスタンなど、世界各国の政府機関への攻撃に使われている。DinodasRATにより、脅威アクターは感染したマシンを制御し、データの抜き取りや持続的なアクセス、スパイ活動を行うことができるようになる。
MuddyWater APT、新たなキャンペーンでRMMソフトウェアを悪用
Malwationの研究者は2024年2月から、イランの高度持続的脅威(APT)グループMuddyWaterによる複数のスピアフィッシングキャンペーンを観測していた。このキャンペーンは新しいツールとテクニックを使い、イスラエル、アフリカ、およびトルコを標的にしている。イスラエル・ナショナルCERTが最初に報告した最近の攻撃では、侵害された企業メールアカウントを介して作成された、ScreenConnectやAteraなどのリモート監視および管理(RMM)ソフトウェアのエージェントが悪用されているとのこと。
架空組織「米連邦運輸局」に扮したキャンペーンでRhadamanthysスティーラーが配布される
Cofenseの研究者は2024年2月21日、石油・ガス業界を標的にRhadamanthysスティーラーを配布するフィッシングキャンペーンを確認した。このキャンペーンは自動車事故について言及したEメールに加え、米連邦運輸局(USDOT)という架空組織になりすまし、その事故で罰金が発生すると脅したPDF文書を悪用するもの。Rhadamanthysは、盗まれた認証情報や暗号資産ウォレット、その他の機微情報を収集するために使用される。
Earth Freybug、UNAPIMONで子プロセスの重要なAPI関数をフック解除
トレンドマイクロの研究者が、APT41のサブグループ「Earth Freybug」との関連が指摘されるサイバースパイ攻撃を調査した。同グループはUNAPIMONと名付けられた新しいマルウェアを使用し、DLLハイジャックとAPIアンフックを使って子プロセスが監視されないようにしている。UNAPIMONはC++で書かれており、暗号化されているのは単一の文字列のみ。このマルウェアの特筆すべき点は、そのシンプルさと独創性、そしてMicrosoft Detoursのような既存技術を利用している部分にある。
TA558、新たな中南米キャンペーンでVenom RATを展開か
The Hacker News – April 2, 2024
脅威アクターTA558との関連が指摘される新たなマルウェアキャンペーンを、セキュリティ研究者のIdan Tarab氏が分析した。このキャンペーンの目的はVenom RAT(リモートアクセス型トロイの木馬)を展開し、機微データを収集してシステムを遠隔操作すること。初期アクセスベクターとしてフィッシングメールが活用され、スペイン、メキシコ、米国、コロンビア、ポルトガル、ブラジル、ドミニカ共和国、アルゼンチンのホテル、旅行、貿易、金融、製造、産業、政府機関が主な標的となっている。観測された戦術、技術、手順は、過去にTA588が行ったキャンペーンと類似している。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。