対ボットネット作戦「Operation Endgame」:マルウェアドロッパーのエコシステムを当局が解体 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 対ボットネット作戦「Operation Endgame」:マルウェアドロッパーのエコシステムを当局が解体

Threat Report

Bumblebee

Cloudflare

HTMLスマグリング

対ボットネット作戦「Operation Endgame」:マルウェアドロッパーのエコシステムを当局が解体

Yoshida

Yoshida

2024.05.31

ウィークリー・サイバーラウンド・アップ

Operation Endgameでマルウェアドロッパーのエコシステムを解体

Europol – May 30, 2024

2024年5月27日から5月29日にかけて、欧州刑事警察機構(Europol)は米連邦捜査局(FBI)と英国家犯罪対策庁(National Crime Agency)、さらにその他の民間および国際的なパートナーと連携し、IcedIDやSystemBC、Pikabot、Smokeloader、Bumblebee Loader、Trickbotなど複数のマルウェアドロッパーに関連するサーバーを差し押さえるとともに、インフラを停止させた。「Operation Endgame」と名付けられたこの法執行活動では16の拠点が捜査され、逮捕者4人、サーバー100台以上のテイクダウン、ドメイン2,000超の差し押さえという成果を上げた。また同30日には、逃亡者8人がヨーロッパの最重要指名手配リストに追加される。

Storm-0539、ギフトカード詐欺へのシフトが顕著に

Microsoft – May 23, 2024

マイクロソフトの研究者がStorm-0539の攻撃手法の変化を観測し、同グループがPOS攻撃からギフトカード詐欺に重点を移していることを明らかにした。Storm-0539は標的をクラウドサービスやIDサービスに切り替え、大手小売業者、高級ブランド、ファストフードレストランに関連する決済ポータルとギフトカードポータルを攻撃。とりわけ米国の祝祭日に活発な活動がみられ、その数は2024年3月から5月にかけて30%増加していた。

スパイ・窃盗マルウェアをホストする偽ウイルス対策サイトが複数発見される

Trellix – May 23, 2024

Trellixの研究者は2024年4月、Android Package Kit、実行可能ファイル、Innoセットアップインストーラーファイルなど、スパイおよび窃盗機能を含む有害なファイルをホストする偽ウイルス対策サイトを複数観測した。研究者らが特定した4件のWebサイトには、Avast、Bitdefender、Malwarebytes、Trellixになりすましたドメインを含むマルウェアがホストされていた。これらのドメインは、SpyNote、Lumma Stealer、StealCなどの情報窃取ツールやコインマイナーなど、さまざまなマルウェアを配信するために使用されている。

大規模フィッシングキャンペーン、新たなHTMLスマグリングの技法を使用

Huntress – May 23, 2024

Huntressの研究者は、Outlookの認証情報を盗み出したり、多要素認証をバイパスしたりすることを目的とした大規模なフィッシングキャンペーンのインフラを発見した。このキャンペーンで使われているのは、HTMLスマグリングやiframeの注入、透過型プロキシを経由したセッションの窃取を組み合わせた新しい技法。観測されたHTMLペイロードは、あらかじめユーザー名が入力されたOutlook認証ポータルをユーザーに提示する。付随するJavaScriptについては、正規のOutlook認証ポータルに注入されているiframeを取得することが判明した。このiframeは単純なクローンサイトではなく、攻撃者が管理するインフラを経由してログイン要求を透過型プロキシに通す。

複数のフィッシングキャンペーンでCloudflare Workersが悪用される

Netskope – May 23, 2024

Netskopeの研究者は、Cloudflare Workersを悪用して有害なコンテンツをホストする複数のフィッシングキャンペーンを分析し、2023年と2024年を通じて影響を受けるユーザー数が増加していることを確認した。フィッシングページの大半はMicrosoftのログイン認証情報を盗むことを目的としており、Gmail、Yahoo!メール、cPanel Webmailも影響を受けている。最近のキャンペーンではアジア、北米、南ヨーロッパのテクノロジー、金融サービス、銀行セクターの組織がターゲットにされていた。研究者は今回観測されたキャンペーンについて、異なる手口を使う2組のアクターの仕業である可能性が高いと評価。一方は主にHTMLスマグリングの手法を利用し、他方は「transparent phishing(Cloudflare Workersを使って正規のログインページのリバースプロキシサーバーに扮し、標的と偽ログインページ間のトラフィックを傍受して認証情報などを窃取する)」と呼ばれる手法を使っているとされる。


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up(May 30, 2024)


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ