新APT「LilacSquid」、データ窃取を目的に長期アクセス確立狙う | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 新APT「LilacSquid」、データ窃取を目的に長期アクセス確立狙う

Threat Report

APT

CCoreDoor

Chalubo

新APT「LilacSquid」、データ窃取を目的に長期アクセス確立狙う

Yoshida

Yoshida

2024.06.07

ウィークリー・サイバーラウンド・アップ

新APT「LilacSquid」、データ窃取を目的に長期アクセス確立狙う

Cisco Talos – May 30, 2024

Cisco Talosの研究者により、新たなAPT(高度持続的脅威)アクター「LilacSquid」によるものと思われるデータ窃取キャンペーンが特定された。このキャンペーンは遅くとも2021年から始まっており、ヨーロッパやアジア、米国の製薬、石油・ガス、テクノロジー業界を標的としている。LilacSquidの目的は、MeshAgentやSecure Socket Funnelingを含むさまざまなオープンソースツールのほか、カスタマイズされたQuasarRATの亜種PurpleInk、そしてInkBox、InkLoaderと呼ばれる2種類のマルウェアローダーを展開すること。主な感染チェーンは2つあり、脆弱なWebアプリケーションが悪用される、あるいは侵害されたリモートデスクトッププロトコル(RDP)の認証情報が使われている。

サイバースパイキャンペーン「Crimson Palace」の標的は東南アジアの政府組織

Sophos – June 5, 2024

Sophosの研究者が「Crimson Palace」と名付けられた中国の国家支援型サイバースパイキャンペーンを特定した。このキャンペーンは東南アジアの主要政府組織を標的とし、遅くとも2023年3月に活動を開始。重複する3つの活動クラスターが確認されており、CCoreDoorやPocoProxyといったこれまで報告されていないマルウェアのほか、EAGERBEEのアップデートされた亜種が使われている。また、Windowsの各サービスやアンチウイルスソフトウェアを悪用するDLLサイドローディングも多用されるなど、ほかの中国国家支援型脅威アクターと多くの共通点があることが判明した。Crimson Palaceの2つのクラスターは活動を停止しているが、その1つはこれまで以上にペースを早め、より検知されにくい方法で活動再開を試みていることが2024年4月に確認されている。

「Operation Overload」を分析 欧米のファクトチェッカー、ニュースルーム、研究者が標的に

CheckFirst – June 4, 2024

CheckFirstの研究者が「Operation Overload」と名付けられた大規模な親ロシア偽情報キャンペーンを分析した。2023年8月に始まったこのキャンペーンは社会間の分裂を引き起こすことを狙い、主にフランスやドイツ、イタリア、ウクライナのファクトチェッカー、ニュースルーム、研究者を標的にしてEメール、Telegram、Xで虚偽コンテンツを広めている。約2,400件のツイートと200通以上のEメール、さらに同キャンペーンで作成された偽情報に言及したファクトチェックや虚偽証明を行う250件以上の記事によって、800を超える組織が標的にされてきた。コンテンツの大半はウクライナに焦点を当てたもので、そのほかにもパリ2024オリンピックやUEFA EURO 2024といったヨーロッパの主要イベント、現在進行中の経済危機など一般的な話題が取り上げられている。

スパイ活動キャンペーン「Operation Veles」が研究・教育分野を標的に

QiAnXin – June,4 2024

QiAnXinの研究者は、「Operation Veles」と名付けられた進行中のスパイ活動キャンペーンを確認した。このキャンペーンは特に中国にフォーカスし、少なくとも10年以上にわたって世界中の研究・教育分野をターゲットにしてきた。攻撃には複数のボットネットの広大なネットワークが使われており、これらはLinuxサーバーを標的とするPerlbot、Outlaw、Miraiボットネットに関係している可能性がある。同キャンペーンは、東ヨーロッパにいると考えられる脅威アクターUTG-Q-008との関連が指摘されているが、UTG-Q-006の攻撃手法と重複する部分もいくつか確認されている。UTG-Q-006は同じく大規模なボットネットを利用しているアクターだが、Windowsデバイスを標的にすることで知られている。

Chalubo RATキャンペーン、SOHOルーター60万台を破壊

Lumen – May 30, 2024

2023年10月25日から27日にかけて、単一のインターネットサービスプロバイダー(ISP)に属する60万台の小規模オフィス/ホームオフィス(SOHO)ルーターを対象に、汎用リモートアクセス型トロイの木馬(RAT)「Chalubo」が使われていることをLumen Technologiesの研究者が発見した。このボットネットのターゲットは、モデムのActionTecとSagemcomのファームウェア版で、攻撃の影響を受けたデバイスはハードウェアベースでの交換が行われている。Chaluboの活動レベルは2023年11月から2024年初頭にかけて高水準を維持。初期アクセスは脆弱な認証情報を利用したか、露出した管理インターフェースを悪用して行われたものと思われる。


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up(June 6, 2024)


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ