UNC5537、侵害された認証情報を使ってSnowflakeの顧客狙う | Codebook|Security News
Codebook|Security News > Articles > Threat Report > UNC5537、侵害された認証情報を使ってSnowflakeの顧客狙う

Threat Report

Amethyst

Andariel

DarkPeony

UNC5537、侵害された認証情報を使ってSnowflakeの顧客狙う

nosa

nosa

2024.06.14

ウィークリー・サイバーラウンド・アップ

UNC5537、侵害された認証情報を使ってSnowflakeの顧客狙う

Google Cloud – June 11, 2024

Mandiantの研究者は2024年4月以降、Snowflakeの顧客データベースインスタンスを標的とした進行中の脅威キャンペーンを分析し、この活動が侵害された顧客認証情報だけを利用していることを突き止めた。これらの認証情報は、VIDARやRISEPRO、REDLINE、RACOON STEALER、LUMMA、METASTEALERを含む複数の情報窃取型マルウェアの亜種によって過去に漏洩したもの。観測されたいくつかのケースでは、個人的な活動に使われていた請負業者のシステムで初期侵入が発生しており、被害を受けた可能性のある組織は現時点で165組に達した。UNC5537はサイバー犯罪フォーラムで被害者データの販売を宣伝し、多くの被害者を恐喝しようとしていることが確認されている。

Kimsuky、DurianBeaconとSmallTigerマルウェアで韓国企業を標的に

ASEC – June 11, 2024

ASECの研究者は2023年11月以降、防衛請負業者や自動車部品メーカー、半導体メーカーなど韓国の複数企業を狙ったKimsukyのキャンペーンを観測した。現在も進行中の同キャンペーンは当初、Andarielが使うバックドアDurianBeaconを配布していたものの、2024年2月に最終的なペイロードをSmallTigerに変更している。初期感染ベクターは現時点で不明だが、ラテラルムーブメントの段階で被害組織内のソフトウェアアップデートプログラムを悪用していることが確認された。DurianBeaconの攻撃ケースではMultiRDPとMeterpreterが使われており、制御維持と情報窃取にDurianBeaconを使用。SmallTigerの感染にはクレデンシャルハーベスティングを目的とするMimikatzとProcDumpのインストールが含まれ、2024年5月にはC2サーバーの代わりにGitHubを使う形に変更されたことが確認されている。

Sapphire Werewolf、Amethystスティーラーでロシア産業を狙う

Medium – Jun 5, 2024

BI[.]ZONEの研究者は2024年3月以降、「Sapphire Werewolf」と名付けられた活動クラスターを観測。Sapphire WerewolfはSapphireStealerの亜種「Amethyst」を使って300回以上攻撃を実施しているクラスターで、AmethystはブラウザデータやTelegramの設定ファイル、PowerShellのログ、FileZillaおよびSSHの設定ファイルを標的にしている。この活動クラスターのターゲットは、ロシアの教育、製造、IT、防衛、航空宇宙工学部門。研究者は、T[.]LYリンクを貼り付けたフィッシングメールがAmethystの配布に使われていると中程度の確度で評価している。また施行令や中央選挙委員会のリーフレット、ロシア大統領の法令といったおとり文書とともに、さまざまなルアーが使われていることも確認されている。

DarkPeonyのOperation ControlPlugキャンペーン、MSCファイルを悪用してPlugXマルウェアを配布 

NTTセキュリティホールディングス – June 5, 2024

NTTセキュリティホールディングスの研究者は、「Operation ControlPlug」と名付けられたDarkPeonyグループのキャンペーンを特定した。このキャンペーンは、Microsoft Common Console Document(MSC)ファイルを悪用してPlugXマルウェアを配布するもの。攻撃はControl Taskpadという機能を利用して任意のコマンドを実行することに焦点を当てており、MSCファイル内の外観設定を改ざんすることで、ユーザーに有害なリンクをクリックさせることを目的としている。ターゲットはミャンマー、フィリピン、モンゴル、セルビアの軍や政府機関。MSCファイルが開かれることで攻撃チェーンが始まり、クリックするとPowerShellスクリプトを実行する有害なリンクが表示される。

Sticky Werewolf、航空業界をも標的に

Morphisec – June 6, 2024

Morphisecの研究者は、モスクワに拠点を置く企業AO OKB Kristallの第一審議役を装ったフィッシングメールで航空業界を狙う、脅威アクターSticky Werewolfの新たなキャンペーンを観測した。最新のキャンペーンではメールに有害なリンクを組み込むのではなく、WebDAVサーバーに保存されたペイロードにリダイレクトするLNKファイルを含むアーカイブファイルが使われている。観測されたペイロードの中には、Rhadamanthys StealerとOzone RATが含まれていた。標的の設定方法や地政学的な背景を踏まえると、Sticky Werewolfは親ウクライナ派のサイバースパイグループやハクティビストに関連していると考えられる。


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ