SneakyChef、政府機関にSugarGh0st RATとSpiceRATをばら撒く | Codebook|Security News
Codebook|Security News > Articles > Threat Report > SneakyChef、政府機関にSugarGh0st RATとSpiceRATをばら撒く

Threat Report

Kimsuky

Living-off-the-land

Magento

SneakyChef、政府機関にSugarGh0st RATとSpiceRATをばら撒く

Yoshida

Yoshida

2024.06.28

ウィークリー・サイバーラウンド・アップ

SneakyChef、政府機関にSugarGh0st RATとSpiceRATをばら撒く

Cisco Talos – June 21, 2024

Cisco Talosの研究者は2023年8月以降、中国語を話す脅威アクターSneakyChefの関与が疑われる進行中のキャンペーンを観測した。このキャンペーンはリモートアクセス型トロイの木馬(RAT)「SugarGh0st」と新たに発見されたRAT「SpiceRAT」を配布するもので、当初の標的はウズベキスタンと韓国のユーザーだったものの、その後にヨーロッパ、中東、アフリカ、アジアの政府機関へ拡大した。各国の外務省に扮した政府文書のスキャンファイルや、報道機関のPDFファイルをルアーにしている。

アジア諸国の通信狙うスパイ活動に中国関連マルウェアが使われる 

Symantec – June 20, 2024

Symantecの研究者は、アジアの通信事業者をターゲットとし、2020年に始まった可能性がある長期的なスパイ活動を観測した。このキャンペーンはアジアの一国を狙うもので、2番目に標的とされた国では通信サービス会社と大学が攻撃を受けている。認証情報を盗み出すことを目的とし、Coolclient、Quickheal、Rainydayなど複数の中国系スパイアクターに関連するカスタムバックドアが展開された。CoolclientはFireantグループに関連するマルウェアで、キー入力の保存、ファイルの読み取りと削除、C2との通信を可能にする。このキャンペーンで観測された複数の亜種は、トレンドマイクロの研究者が2023年に観測したものと類似していた。

航空宇宙・防衛関連企業を狙うキャンペーンにKimsukyが関与か

CyberArmor – June 19, 2024

CyberArmorの研究者は2024年5月下旬、航空宇宙および防衛関連企業を標的とした北朝鮮の脅威キャンペーン「Niki」を確認した。このキャンペーンはロッキード・マーティン社やゼネラル・ダイナミックス社などの求人情報をルアーに使い、これをEメールで配信している可能性が高い。研究者は複数の新しいバックドアだけでなく、さまざまな難読化技術が導入されていることを確認した。ルアーとして求人情報が使われていることや、ターゲティング、展開されたバックドアとほかのKimsukyマルウェアとの類似性などを踏まえ、このキャンペーンはKimsukyに関連している可能性があると、低い確度で評価されている。

複数のソーシャルエンジニアリングキャンペーンで、医療機関や公衆衛生機関が狙われる

DataBreaches.Net – June 24, 2024

2024年6月24日、米連邦捜査局(FBI)と保健福祉省(Department of Health and Human Services)は共同勧告を発表し、医療組織や公衆衛生機関、医療サービス提供機関を標的にしたソーシャルエンジニアリングキャンペーンが進行中であると警告した。脅威アクターは2023年8月以降、VoIP番号を使ってスピアフィッシングキャンペーンを行い、初期アクセスのためのログイン認証情報を盗んでいる。ソーシャルエンジニアリングが成功すると、ACH決済による送金が脅威アクターの管理下にある米国内の銀行口座に入金されるよう「Living Off The Land(環境寄生型)」の手法が使われる。

Caesar Cipher Skimmer、複数のCMSプラットフォームを標的に

Sucuri – June 20, 2024

Sucuriの研究者は最近、WordPress、Magento、Opencartなど複数のコンテンツ管理システム(CMS)プラットフォームに影響を与える新しいクレジットカードスキマー「Caesar Cipher Skimmer」を特定した。このマルウェアはGoogle AnalyticsとGoogle Tag Managerの両方に扮し、文字列の難読化にシーザー暗号を使う。研究者は、WooCommerceプラグインとInsert Headers and Footers WPCodeプラグインを標的とするマルウェアインジェクションに注目した。


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ