ウィークリー・サイバーラウンド・アップ
CrowdStrikeのアップデート関連インシデントを利用し、脅威アクターがマルウェア配布やフィッシングを試みる
Bleeping Computer – July 21, 2024
最近発生したCrowdStrikeのアップデート関連インシデントで生じている混乱に乗じ、多数の脅威アクターがデータワイパーやリモートアクセスツール、タイポスクワッティングドメインで企業を攻撃していることをセキュリティ研究者らが確認した。CrowdStrikeの研究者はHijackLoaderペイロードを含む有害なZIPアーカイブが配布された後、リモートアクセス型トロイの木馬(RAT)Remcosの実行やDaolpu Stealer、Lumma Stealerの配布が行われたことを観測。さらにCybleの研究者も、このインシデントのフォローに従事する個人や組織を標的にすべく登録された多数の有害ドメインを確認した。このキャンペーンについては、とりわけイスラエル企業を狙っているとされるハッカーグループ「Handala」が関与を主張している。
ウクライナの防衛企業を狙い、無人航空機の購入誘う攻撃でGLUEGGとDROPCLUEが展開される
ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、同国の防衛企業を標的にしたUAC-0180の新たなサイバー攻撃について警告した。無人航空機(UAV)の購入に関する誘い文句を使うこの攻撃は、GLUEGGやDROPCLUEといったマルウェアを展開するもの。最終的には正規のAteraソフトウェアをインストールし、許可されていないリモートアクセスを行うことを目的とする。初期感染ベクターはリンク付きPDF文書を含むZIP形式の添付ファイルで、このリンクからDROPCLUEダウンローダーの復号と実行に使われるGLUEGGがダウンロードされる。DROPCLUEはAteraのダウンロードとインストールを行うEXEファイルと共に、おとりのPDFファイルをダウンロードする。また、ハッカーは信用性を高めるために政府機関の職員になりすますこともある。
APT41、世界規模のキャンペーンで複数業界を標的に
脅威アクターAPT41による進行中のキャンペーンについて、Mandiantの研究者が詳述した。主な標的はイタリア、スペイン、台湾、タイ、トルコ、英国の複数組織で、海運/物流、メディア/エンターテインメント、テクノロジー、自動車の各分野が狙われている。このキャンペーンではANTSWORDとBLUEBEAMのWebシェルが持続的に使われ、C2通信用のBEACONバックドア実行にはDUSTPANドロッパーを使用。さらにAPT41はハンズオンキーボード活動にDUSTTRAP、OracleデータベースからデータをエクスポートするためにSQLULDR2、Microsoft OneDriveにデータを持ち出すためにPINEGROVEをそれぞれ活用している。APT41は2023年以降、複数のネットワークに侵入してアクセスを維持し、被害者の機微データを長期にわたって盗み出している。
Vigorish Viper、中国系組織犯罪の支援に技術サプライチェーンを開発
Infobloxの研究者は、東南アジア全域で中国の組織犯罪、マネーロンダリング、人身売買を促進するサプライチェーンの設計、開発、運用を担当する脅威アクターを特定し、これをVigorish Viperと名付けた。テクノロジースイートはソフトウェア、ドメインネームシステム(DNS)の設定、Webサイトのホスティング、決済メカニズム、モバイルアプリケーションなどで構成される。このテクノロジーを利用しているのは一見無関係と思えるギャンブルブランド数十件で、各ブランドはイングランドプレミアリーグの所属チームなどヨーロッパのスポーツチームのスポンサーとして宣伝されている。研究者はVigorish Viperのテクノロジースイートについて、大中華圏をターゲットとした最大の違法賭博運営組織とされるYabo Groupによって開発されたものであると、高い確度で評価している。
Daggerfly、刷新されたバックドアで中国と台湾の組織を狙う
Symantecの研究者は、サイバースパイグループDaggerflyに関連する新たなツールを複数特定した。これらのツールは、台湾の数組織と中国にある米国系非政府組織を狙った攻撃に使われているもの。これまで関連が特定されていなかったmacOSバックドア「Macma」と、新たなWindowsバックドア「Suzafk」も含まれる。Macmaは遅くとも2019年から使われているモジュール設計のバックドアで、香港のWebサイトを標的に、特権昇格の脆弱性CVE-2021-30869を悪用した水飲み場型攻撃を介して配布されている。一方、Suzafkは2024年3月に初めて発見されたマルチステージ型バックドアで、Mgbotマルウェアと共に使用されていることが判明した。そのほか、Apache HTTPサーバーの脆弱性を悪用してMgbotが配布されていることもわかっている。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。