Kimsuky、スピアフィッシング攻撃で脆弱なDMARCポリシーを悪用 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Kimsuky、スピアフィッシング攻撃で脆弱なDMARCポリシーを悪用

Threat Report

APT28

Kimsuky

LOLBin

Kimsuky、スピアフィッシング攻撃で脆弱なDMARCポリシーを悪用

Yoshida

Yoshida

2024.05.10

ウィークリー・サイバーラウンド・アップ

Kimsuky、スピアフィッシング攻撃で脆弱なDMARCポリシーを悪用

National Security Agency – May 2, 2024 

北朝鮮の脅威アクターKimsukyによるスピアフィッシング攻撃の試みについて、米連邦捜査局(FBI)、国務省(DOS)、国家安全保障局(NSA)が共同で勧告を発した。Kimsukyはソーシャルエンジニアリングの一環として、不適切に設定されたDNS Domain-based Message Authentication, Reporting and Conformance(DMARC)レコードポリシーを悪用。正規ドメインからEメールをやり取りしているように見せかけるスピアフィッシングキャンペーンを展開し、正規のジャーナリストや学者のほか、北朝鮮の政界に通じているその他の東アジア問題の専門家になりすましている。

Mal.Metricaリダイレクト詐欺、偽の人間認証プロンプトを使った新手口が確認される

Sucuri – May 2, 2024

Sucuriの研究者により、WordPressテーマ「Responsive」の脆弱性CVE-2024-2848を介して侵害されたWebサイト上で、新たな手口を使ったMal.Metricaリダイレクト詐欺が確認された。この詐欺で使われるのが、偽の「人間証明(ユーザーがロボットではなく人間であることを確かめるための認証システム)」プロンプト。このプロンプトには、ユーザーを騙して有害ドメインへのリンクをクリックさせるため、当該リンクを仕込んだオーバーレイ画像が使用されている。その後、このドメインからさまざまな詐欺サイトへのリダイレクトが開始され、個人情報が取得されたり、有害なソフトウェアがダウンロードされたりする。Mal.Metricaキャンペーンは2023年に始まっており、複数のWordPressの人気プラグインの脆弱性が悪用されてきた。本稿執筆時点で、研究者は17,449件の侵害されたWebサイトを検出している。

Matanbuchus Loaderを展開する2つのマルスパムキャンペーンが確認される

Intrinsec – May 6, 2024

Intrinsecの研究者は、Matanbuchus Loaderを展開する2つのマルスパムキャンペーンを分析した。2024年3月に開始されたこのキャンペーンでは、C2ホスティングインフラに2つの防弾ホスティングサービス「Chang Way Technologies」と「Proton66 OOO」が使われていた。同年3月7日に始まった最初のキャンペーンでは、囮となる画像を含むExcelドキュメントがメールに添付されてばらまかれ、LOLBinを使ってMatanbuchusが起動された。2回目のキャンペーンは同26日にPalo Alto Networks Unit 42の研究者が最初に確認したもので、Google広告を悪用して米国の銀行に扮した有害なWebサイトがプロモートされている。

人権擁護団体を狙うインドネシアのスパイウェア製品

Amnesty International’s Security Lab – May 1, 2024

Amnesty Internationalは2017年から2023年にかけて、インドネシアで侵入的なスパイウェアやその他の偵察技術が販売・配備されていることを発見した。このスパイウェアは人権擁護者、ジャーナリスト、およびその他の市民社会組織のメンバーを標的にするべく世界中で利用されてきた。これらの偵察ツールのサプライヤーとして特定された組織には、Q Cyber TechnologiesやIntellexa consortium、Saito Tech、FinFisher、Raedarius M8 Sdn Bhd、Wintego Systemsが含まれる。スパイウェアはインドネシア国家警察を含む、同国のさまざまな国家機関や企業に販売されていた。

ポーランド政府、APT28のフィッシングキャンペーンに狙われる

cybernews – May 08, 2024

2024年5月8日、ポーランドのComputer Emergency Response Teamは、同国の政府機関を標的としたEメールフィッシングキャンペーンを発見した。ロシアの国家支援型ハッカーグループAPT28との関連が指摘されるこのキャンペーンで使われた攻撃フローは、過去にAPT28が使ったHeadlaceマルウェアのバックドア配布システムと同じもの。感染チェーンの起点はIT業界で知られる人気のWebアドレスへのリダイレクトリンクを含むメールで、このメールは標的を騙して写真のZIPファイルをクリックさせるように作られている。


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up(09 May 2024)


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ