ウィークリー・サイバーラウンド・アップ
UNC3944の戦術が変化、SaaSアプリケーションからのデータ窃取に重き
UNC3944が攻撃戦術を変化させ、SaaS(Software-as-a-Service)アプリケーションからのデータ窃取に移行していることをMandiantの研究者が観測した。大規模な調査によって判明したのは、UNC3944がクラウド同期ユーティリティを介してSaaSアプリケーションからデータを盗み出していること、そしてヘルプデスクを狙ったソーシャルエンジニアリングで初期アクセスを獲得しているという点だ。ユーザーの本人確認を回避するため、被害者の個人を特定できる情報(PII)もすでに入手済みとされている。また、狙いをオンプレミスのインフラからクラウドやSaaSアプリケーションに切り替えるため、Oktaパーミッションの悪用テクニックを使っているという。UNC3944は遅くとも2022年5月に活動を開始し、以前はクレデンシャルハーベスティングとSIMスワッピング攻撃に重点を置いていたものの、その後にランサムウェアへ移行。最終的にはランサムウェアを使わずにデータを抜き取る恐喝攻撃にシフトした。こうした目的の変化により、標的となる業界や組織が拡大している。
UTA0137、DISGOMOJIマルウェアでインド政府機関を攻撃
Volexityの研究者が今年、パキスタンを拠点とする脅威アクターUTA0137の関与が疑われるサイバー攻撃キャンペーンを発見した。このキャンペーンはLinuxディストリビューションBOSSを使うインドの政府機関を標的に、Go言語で書かれた新種のマルウェア「DISGOMOJI」で攻撃するもの。UTA0137は特権昇格の脆弱性「DirtyPipe」を悪用する一方で、ソーシャルエンジニアリングの一環としてZenityユーティリティも活用して有害なダイアログボックスを表示させ、ユーザーのパスワードを取得していることが観測された。DISGOMOJIは、過去にも航空宇宙分野を標的としたAPT36のキャンペーンで使われたことがある。さらにVolexityの研究者は、このグループの脆弱なインフラがパキスタンに拠点を置く脅威アクターSideCopyに関連していると指摘している。
Cosmic Leopard、GravityRATとHeavyLiftでインドの組織を標的に
Cisco Talosの研究者は、遅くとも2018年から実施されている新しいスパイ活動キャンペーン「Operation Celestial Force」を発見した。このキャンペーンのターゲットは、防衛、政府、および関連技術分野に属すると思われるインドの組織。Windowsベースのローダー「HeavyLift」とGravityRATのWindows版およびAndroid版が使われており、両マルウェアへの感染は複数のキャンペーンを運用するために設計されたスタンドアロンツール「GravityAdmin」の管理のもと行われる。このキャンペーンは、スパイ活動や偵察に重点を置くパキスタンの脅威アクターCosmic Leopardに関連している可能性があると、高い確度で評価されている。
脅威アクターらがホテル予約システムを悪用し、旅行詐欺を実施
Abnormal Security – June 19, 2024
Abnormal Securityの研究者は、脅威アクターらがホテルの予約システムから盗まれたクレジットカード情報を現金に換える「キャッシュアウト」の手法を使っていることを確認した。これらのアクターは通常、多要素認証または2要素認証プロセスを導入していない可能性のあるホテルを標的にし、予約割引を提供する内容の偽広告をおとりとして使用。予約を入れたターゲットが脅威アクターとは知らずに料金を支払う際、ほとんどのケースで暗号資産が使われるため追跡されることもなく、最終的に盗まれたクレジットカード情報を現金化している。
AridSpyがトロイの木馬化されたアプリで拡散される Arid Viperキャンペーンに関連か
ESETの研究者は2022年以降、エジプトとパレスチナのAndroidユーザーを標的にした5つのキャンペーンを観測し、Androidマルウェア「AridSpy」を展開するように設計されたトロイの木馬化アプリが使われていることが判明した。このマルウェアはメッセージングアプリの「NortirChat」「LapizaChat」「ReblyChat」、あるいは求人情報アプリやパレスチナ市民登録アプリに扮した専用Webサイトを通じて配布されていることが確認されており、このうち3つのキャンペーンは現在も進行中だという。AridSpyは自身の活動を停止させることができるほか、Facebook MessengerとWhatsAppに特化したキーロギングなど、データ収集や情報抽出の機能を複数備えている。このマルウェアは高度持続的脅威(APT)アクターのArid Viperに関連している可能性があると、中程度の確度で評価されている。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。