-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ウィークリー・サイバーラウンド・アップ
フーシ派関連スパイウェアGuardZoo、中東諸国の軍関係者を標的に
新種のAndroidスパイウェアGuardZooを使い、中東諸国の軍関係者を標的にしている進行中のキャンペーンをLookoutの研究者が発見した。このキャンペーンは2019年10月頃に始まっており、イエメンのフーシ派に属する脅威アクターとの関連が疑われている。被害はイエメンを中心に、サウジアラビアやエジプト、オマーン、アラブ首長国連邦、カタール、トルコでも確認された。このマルウェアはWhatsApp、WhatsApp Business、ブラウザからの直接ダウンロードによって拡散され、写真や文書、座標データファイルなどさまざまなデータを収集することができる。
新たな国家支援型キャンペーンLegalQloud、Eqooqp、BoomerがHEATテクニックを使用
Menlo Securityの研究者は、回避力と適応性に優れた脅威攻撃(HEAT)テクニックを用いる3件の新たな国家支援型キャンペーンを特定した。それぞれLegalQloud、Eqooqp、Boomerと名付けられたこれらのキャンペーンは、少なくとも40,000人の高価値ユーザーを侵害。多要素認証(MFA)の回避だけでなく、中間者攻撃(AiTM)キットを介したセッションの乗っ取りが可能な攻撃を繰り出していることが判明した。LegalQloudの主な標的は、北米の政府機関や投資銀行など。EqooqpはAiTMテクニックとフィッシングツールキットNakedPagesを使い、MFAをバイパスする。BoomerキャンペーンはAdobeやマイクロソフトのようなブランドになりすまし、政府機関や医療部門を標的としている。
スペイン語圏でPoco RATキャンペーンの被害が続出
Poco RATと名付けられた新しいリモートアクセス型トロイの木馬(RAT)を使い、スペイン語圏で被害が続出している進行中のキャンペーンをCofenseの研究者が確認した。このマルウェアが初めて観測されたのは2024年初頭で、鉱業を中心に製造、ホスピタリティ、公共事業などの各分野で被害が発生。Poco RATはDelphiで書かれており、Google Drive上でホストされた実行可能ファイルを含む7ZIPアーカイブへの埋め込みリンクを通じて配信される。コードの大部分はアンチ解析、C2サーバーとの通信、ファイルのダウンロードと実行に焦点を当てている。
Tulraマルウェアがショートカットファイル経由で配布されたか
G DATAの研究者は2024年5月、高度持続的脅威(APT)アクター「Turla」が有害なショートカットファイルを使い、ファイルレスバックドアを展開する新たなキャンペーンを行った可能性があることを確認した。このLNKファイル(実際は悪質なMSBuildプロジェクト)は、フィリピン日刊紙『Philippine Daily Inquirer』のサイトへのリンクとされる不正なURLを含むフィッシングメールを介して配布され、おとりの文書としてフィリピン統計機構(PSA)からの公的な勧告であることを表すPDFファイルが使用される。感染チェーンでは検知を回避するためのメモリパッチや、AMSIバイパス、イベントロギング機能の無効化が行われる。
CloudSorcerer APT、ロシア政府各組織を標的に
カスペルスキーの研究者は2024年5月、ロシアの政府組織を標的に、カスタムツールでサイバースパイ活動を行う新たなAPTグループ「CloudSorcerer」を発見した。このバックドアはMicrosoft GraphやYandex Cloud、Dropboxといったクラウドインフラを介し、密かに偵察を行ったり、データを収集・抽出したりする目的で使われ、個別のモジュールとして単一のポータブル実行ファイルから実行される。中でもバックドアモジュールは、システム情報の収集やその他のタスクの実行のために利用され、情報は名前の付いたパイプを介してC2モジュールプロセスに送信される。また、このマルウェアの最初のC2サーバーにはGitHubが使われる。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
