LilacSquid:2021年からアジアや欧米狙うAPTグループの存在が新たに判明 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > LilacSquid:2021年からアジアや欧米狙うAPTグループの存在が新たに判明

Threat Report

Andariel

APT

EU

LilacSquid:2021年からアジアや欧米狙うAPTグループの存在が新たに判明

nosa

nosa

2024.06.03

5月31~6月2日:サイバーセキュリティ関連ニュース

LilacSquid APT、遅くとも2021年から米国やヨーロッパ、アジアの複数組織を標的にしていることが判明

Security Affairs – May 31, 2024

Cisco Talosの研究者は、LilacSquidとして追跡されているAPTグループが遅くとも2021年以降、米国やヨーロッパ、アジアのさまざまな分野の組織に対してデータ窃取キャンペーンを展開していることを確認した。

LilacSquidはこれまでに報告されていなかったグループだが、被害組織への長期的なアクセスを獲得し、機微データを盗み出すことを目的に活動していることが判明した。その戦術、技術、手順(TTP)についても、北朝鮮系APTのAndarielやLazarusなどと重複していることがわかっている。

この脅威アクターはネットに接続されたアプリケーションサーバーの脆弱性を悪用し、リモートデスクトッププロトコル(RDP)の認証情報を侵害。MeshAgentやSecure Socket Funneling(SSF)といったオープンソースのリモート管理ツールを展開し、PurpleInk、InkBox、InkLoaderなどカスタマイズされたマルウェアも併せて投下する。PurpleInkは複数のRAT性能を備えるマルウェアで、プロセスの列挙とC2への情報送信、指定されたプロセスの終了、新たなアプリケーションの起動、ドライブ情報の収集といった動作を行うことができるという。InkBoxは2021年〜2023年にかけて使われていたPurpleInkのローダーで、2023年以降はInkLoaderがこれに代わって同様の役割を果たすようになっている。

これらのIoC(セキュリティ脅威インジケーター)はGitHubで提供されている。

スペイン当局がメタに命令、プライバシー保護の懸念からFacebookとInstagramで選挙関連機能の立ち上げを禁止 

TechChrunch – May 31, 2024

メタ社は6月の欧州議会選挙を前に、FacebookとInstagramでスペイン人有権者のデータを収集する機能を立ち上げることを禁止された。

スペイン王国データ保護機関(AEPD)は国内ユーザーのプライバシーを保護するため、EU一般データ保護規則(GDPR)に含まれる緊急権限を行使。TechCrunchの聞き取り調査により、最長で3か月有効となるこの命令にメタ社が従ったことが確認された。GDPRにおいて同社のデータ保護監督担当機関はアイルランドデータ保護委員会だが、自国領土内でユーザーに緊急リスクがあると判断された場合、必要な対策を講じる権限があらゆるデータ保護当局に与えられている。

メタ社が計画している選挙関連機能について、AEPDは処理の合法性やデータ最小化要件などでGDPRに違反する恐れがあると危惧しており、この「予防措置」に関する声明で次のように記した。「これはデータ収集やユーザーのプロファイリング、第三者への情報転送を防ぐ措置を講じる必要があるという例外的状況に基づく決定であり、個人データが未知の管理者によって、また明示されていない目的で使われることを回避できる」

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ