Void Manticore、ハクティビズムを装いイスラエルとアルバニアの複数組織をワイパーで攻撃 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Void Manticore、ハクティビズムを装いイスラエルとアルバニアの複数組織をワイパーで攻撃

Threat Report

AI

APT

BiBi Wiper

Void Manticore、ハクティビズムを装いイスラエルとアルバニアの複数組織をワイパーで攻撃

Yoshida

Yoshida

2024.05.24

ウィークリー・サイバーラウンド・アップ

Void Manticore、ハクティビズムを装いイスラエルとアルバニアの複数組織をワイパーで攻撃

Check Point – May 20, 2024

Check Pointの研究者により、イランの国家支援型脅威アクターVoid Manticoreが2023年10月以降、ワイパー型マルウェアを使った攻撃や影響力行使キャンペーンを実行していることが確認された。Void Manticoreはアルバニアで「Homeland Justice」というペルソナを、イスラエルでは「Karma for Israel」というペルソナをそれぞれ使って攻撃を実行。BiBi WiperやCL Wiperを含む複数のカスタムワイパーが観測されたほか、手動ファイル削除や共有ドライブ操作を行っていることが確認された。Void ManticoreとScarred Manticoreのターゲットや手法が重複している点、さらに両グループ間で文書化されているハンドオフ手順を調査した結果、研究者らはこの2つグループの作戦が高度に連携していることを示唆している。

Transparent Tribeがインドの政府・防衛・航空宇宙各部門を攻撃

BlackBerry – May 22, 2024 

BlackBerryの研究者は2023年後半から2024年4月にかけて、高度持続的脅威(APT)グループ「Transparent Tribe」との関連が疑われる活動群を観測した。標的はインドの政府・防衛・航空宇宙各部門で、同グループは2023年10月からISOイメージを攻撃ベクターとして使い始め、Discord-C2を修正したスパイツールも活用している。また、GLOBSEHLLの亜種やPYSHELLFOXに似たスクリプトの配布も確認された。研究者はさらに、クロスプラットフォーム言語やオープンソースの攻撃ツール、攻撃ベクター、Webサービスの使い方を中心に、同グループの戦術が進化したことを確認している。

米国のAI開発組織がSugarGh0st RATに狙われる

ProofPoint – May 16, 2024

ProofPointの研究者は2024年5月、リモートアクセス型トロイの木馬(RAT)SugarGh0stを使い、人工知能(AI)開発に関わる米国組織を標的にしたキャンペーンを確認した。UNK_SweetSpecterとの関連が疑われるこのキャンペーンは、無料のEメールアカウントからAIをテーマにしたルアーを送信し、添付されたZIPファイルを開くよう受信者に促すもの。このペイロードのキーロギング、C2ハートビートプロトコル、データ窃取の手法は、Cisco Talosの研究者によって以前観測されたキャンペーンと同じであることが確認された。より最近のキャンペーンでは、永続性を維持するためにレジストリキーの名前が変更されたことや、ペイロードが実行できるコマンド数が減少したこと、さらにC2サーバーが異なることが確認されている。

米IRSになりすますスミッシングキャンペーン、暗号資産ウォレットの回復フレーズを標的に

BROADCOM – May 21, 2024

Broadcomの研究者は最近、あるスミッシングキャンペーンを観測した。このキャンペーンは攻撃者が米内国歳入庁(IRS)になりすまし、暗号資産保有申告に関連する誘い文句を使うというもの。脅威アクターの目的は、米国のモバイルユーザーの12語から成る暗号資産ウォレットの回復フレーズを盗むことで、CoinbaseやMetaMask、Exodus、Blockchain、Trust Wallet、Rainbow、Phantomなど、さまざまなウォレットサービスが標的になっている。

Tulraの関与が疑われるキャンペーン、MSBuildプロジェクトを使って人権擁護団体にバックドアを配布 

Cyble – May 20, 2024 

Cybleの研究者は、人権セミナーの招待状や公的な通知を囮にしたスパムメールを配信する進行中のキャンペーンを観測した。このキャンペーンでは、LNKファイル内のPDFとMSBuildプロジェクトファイルを使って、バックドアTinyTurlaとの類似性がみられるステルス性の高いファイルレスバックドアが配布される。標的の設定とさまざまなテクニックが類似しているため、攻撃者はロシアの高度持続的脅威アクターTurlaだろうと、中程度の確度で評価されている。


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up( 23 May 2024)


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ