ウィークリー・サイバーラウンド・アップ
MuddyWater、フィッシングメールでバックドア「BugSleep」を配布
Check Point Research – July 15, 2024
新種のバックドア「BugSleep」を使い、イスラエルの複数組織を標的とするMuddyWaterのフィッシングキャンペーンをCheck Pointの研究者が観測した。複数の亜種が存在するBugSleepは2024年5月からフィッシングのルアーに使われており、攻撃者はEgnyteファイル共有プラットフォームを使って有害なファイルを標的に配布。BugSleepはサンドボックス回避やミューテックスの作成、設定の復号が可能で、永続性を保つためにスケジュールされたタスクを作成し、暗号化されたC2通信を使って被害者のマシンからファイルを転送する。さらに研究者は、イスラエル・ハマス紛争が始まった2023年10月以降、MuddyWaterの活動が著しく増加していると指摘した。
FIN7キャンペーンに関連する複数のドメインを研究者が発見
脅威アクターFIN7に関連すると考えられる複数の新しいキャンペーンをSilent Pushの研究者が発見した。フィッシング、スプーフィング、シェル、およびマルウェア配布に関連するドメインが4,000件以上特定されており、これらのキャンペーンはマイクロソフト(Microsoft 365)、ウォール・ストリートジャーナル、ロイター、ルーブル美術館など複数の組織に加え、7-ZIP、PuTTY、Pythonなどのソフトウェアを標的としていた。FIN7の攻撃ベクターには、Google広告経由でMSIXマルウェアを配布するための特定のテンプレートが含まれる。LexisNexisを狙った攻撃チェーンの1つでは、権限を昇格して水平展開とActive Directoryへのアクセス取得を行うためにリモートアクセス型トロイの木馬「NetSupport」が使われた。
Facebook悪用のマルバタイジングキャンペーンでインフォスティーラー「SYS01」が配布される
Trustwaveの研究者により、Facebookを悪用したマルバタイジングキャンペーンが観測された。これは海賊版のゲームやソフトウェアだけでなく、偽のWindowsテーマのダウンロードを通じてインフォスティーラー「SYS01」を配布するもので、不正広告は新たに作成されたビジネスページのほか、攻撃者に乗っ取られて有害なダウンロードをサポートするよう変更された既存ページを通じて宣伝されている。これをクリックするとGoogleサイトまたはTrue HostingでホストされたWebページにリダイレクトされ、そこにSYS01の動作環境をセットアップするためのDLLサイドローディングを活用したZIPアーカイブのダウンロードがあるという仕組みだ。SYS01の主なペイロードはPHPスクリプトを使い、永続性の確保とデータを盗み出すためにスケジュールされたタスクを作成する。
APT17、Rat 9002でイタリアの複数組織を標的に
TG Softの研究者は今年6月24日と7月2日、イタリアの企業や政府機関が2回にわたって攻撃されていることを観測した。中国の高度持続的脅威(APT)アクター「APT17」との関連が指摘されているこれらの攻撃では、最終的にディスクレスモードのRat 9002の亜種が配布される。Rat 9002はモジュラー型マルウェアであり、ネットワークトラフィックを監視して追加のディスクレスプラグインをダウンロードする性能を持つことに加え、画面キャプチャやファイル閲覧、プロセス管理、アンインストール、プログラムの実行を可能にする。脅威アクターはどちらの攻撃でも、イタリア政府系組織Equitalia Giustiziaのミーティングの公式ページを模した有害なドメイン上のリンクからSkype for Businessパッケージをインストールするよう標的を誘導していた。
Konfetyキャンペーン、有害な「双子」アプリを広告詐欺に使用
HUMANの研究者は最近、Konfetyと名付けられた広告詐欺キャンペーンを発見した。このキャンペーンではソフトウェア開発キット(SDK)のCaramelAdsを悪用し、Google Play上でおとりとなる無害なアプリと有害なアプリが作成される。この脅威アクターは、コードにCaramelAds SDKを使用したAndroidアプリを公式のGoogle Playストアに250件以上アップロード。これらのアプリにも同じくCaramelAds SDKを含む有害なものが存在しており、マルバタイジングやクリックベイト、ドライブバイダウンロードを介してGoogle Playストア外で配布されている。この不正なアプリはトラフィックが正規のものだとネットワークに信じ込ませるため、正規アプリになりすまし、広告パブリッシャーIDを宣伝する。これらのおとりアプリと有害アプリのセットが感染したデバイス上で動画広告を密かにロード・再生することで、広告詐欺が行われる。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。