ウィークリー・サイバーラウンド・アップ
Unfurling Hemlock、クラスター爆弾型マルウェアでスティーラーとローダーを配布
Outpost24の研究者は2023年2月頃から2024年初頭にかけて、新興の脅威アクターUnfurling Hemlockが関与していると思われるマルウェアキャンペーンを確認した。このキャンペーンはRedLine、RisePro、Mystic Stealerなどのインフォスティーラーに加え、AmadeyやSmokeLoaderといったローダーの配布を目的とするもので、1つのサンプルから複数のペイロードをシステムに感染させる斬新な手法を使う。この脅威アクターは主に米国のシステムを標的としており、ドイツ、ロシア、トルコ、インド、カナダでも活動が確認されている。
.ggドメインとGitHub介してXenoRATが拡散される 標的はゲーマー
.ggドメインとRoblox用のスクリプトエンジンツールを含むとされるGitHubリポジトリを介し、リモートアクセスツール(RAT)のXenoRATが拡散されていることをHunt Intelligenceの研究者が確認した。GitHubリポジトリに保存されたファイルを宣伝するYouTube動画が確認されたことに加え、トップレベルドメインの使用とRobloxになりすます手口は、このキャンペーンの標的がゲームコミュニティであることを示唆している。XenoRATはオープンソースのマルウェアで、HVNC(隠しVirtual Network Computing)の機能、リアルタイムの音声監視、SOCKS5リバースプロキシなど高度な機能が複数備わっている。さらにHunt Intelligenceの研究者は、Quasar RATを配布するファイルを数点発見した。特定されたドメインのいくつかは、DcRATとVenomRATのコントローラーインフラとしても機能している。
Kimsuky、Chrome拡張機能TRANSLATEXTで韓国学界を攻撃
Zscalerの研究者は2024年3月、Kimsukyの関与が疑われるサイバースパイ活動を観測した。このキャンペーンはGoogle Chromeの有害な拡張機能TRANSLATEXTの配布を伴うもので、主なターゲットは韓国の学術分野、特に北朝鮮関連の研究に携わる人々のようだ。TRANSLATEXTは複数の著名なメールサービスプロバイダーのセキュリティ対策をバイパスすることが可能で、メールアドレスやユーザー名、パスワード、クッキーを盗むだけでなく、ブラウザのスクリーンショットをキャプチャできる。
FakeBatローダーの複数キャンペーン、正規ソフトウェアになりすます
Sekoiaの研究者が最近のFakeBatの活動について詳述し、このマルウェアは2024年初頭にドライブバイダウンロード技術を使って最も拡散されたローダーの1つだと述べた。配布手法の異なるキャンペーンが複数確認されており、これらのキャンペーンでは通常、正規のソフトウェアに扮したランディングページを使用。Webブラウザの偽アップデートやマルバタイジング、SNS上でのソーシャルエンジニアリングのスキームを通じてマルウェアを拡散する。またFakeBatは、IcedIDやLumma、Redline、SmokeLoader、SectopRAT、Ursnifなど、第2段階のさまざまなペイロードを配信することで知られる。このローダーは2022年12月に初めて登場したもので、複数の検知防止機能を誇るマルウェア・アズ・ア・サービス(MaaS)として宣伝されている。
CapraRATを配布するTransparent TribeのCapraTubeキャンペーンに変化
SentinelLabsの研究者は、パキスタンが関与していると思われる脅威アクターTransparent Tribeに関連する4つの新しいCapraRAT APKを発見した。このAndroidスパイウェアのサンプルは、2023年9月に初めて確認されたCapraTubeキャンペーンに関連する進行中の活動の一環として使われている。現在の活動ではターゲットをモバイルゲーマーや武器愛好家、TikTokファンにまで拡大しているようだ。このアプリがインストールされると、ユーザーにはGPSによる位置情報へのアクセスやSMSの読み取り・送信、連絡先の読み取り、音声と画面の録画など、さまざまな許可を求めるプロンプトが表示される。新しいバージョンではAndroid Oreoも対象とすることが可能になった。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。