SideWinder：インドのAPTが地中海とインド洋の港湾・海上施設を標的に

nosa

2024.08.02

ウィークリー・サイバーラウンド・アップ

地中海とインド洋の港湾・海上施設を狙うSideWinderキャンペーン

BlackBerry – July 25, 2024

BlackBerryの研究者は、インド洋と地中海の港湾・海上施設を狙った新たなスピアフィッシングキャンペーンを確認した。このキャンペーンはインドの関与が疑われるAPT（高度持続的脅威）アクターSideWinderによるもので、攻撃の第一段階でパキスタン、エジプト、スリランカを、第二段階ではバングラデシュ、ミャンマー、ネパール、モルディブを標的にしているとみられる。その目的はスパイ活動と情報収集の可能性が高く、まずは正規文書に見せかけたフィッシングメールを送信。この文書にはリモートテンプレートインジェクションの脆弱性CVE-2017-0199を悪用する有害ファイルが仕込んである。その後にRTFファイルを使い、CVE-2017-11882を悪用するシェルコードを含んだ有害なWord文書をダウンロードさせ、さらに実行用のJavaScriptを読み込ませる。

ドイツのCrowdStrikeユーザーを狙い、有害インストーラーを配布するスピアフィッシングサイトが見つかる

CrowdStrike – July 25, 2024

CrowdStrikeの研究者は2024年7月24日、あるドイツ企業になりすましたWebサイトを通じ、CrowdStrike Crash Reporterの不正なインストーラーを配布しようとするスピアフィッシングを確認した。Webサイトのアーティファクトから判断すると、このドメインは同20日に作成された可能性が高く、これはCrowdStrike Falcon Sensorのアップデート不具合を起因とする大規模障害が発生した翌日にあたる。スピアフィッシングのページには標的企業とCrowdStrikeのブランドロゴが表示されており、ページ内のリンクから有害なInnoSetupインストーラーのドイツ語版を含むZIPファイルをダウンロードさせる。標的企業の関係者しか知り得ない特定のパスワードの入力が必要なことから、この攻撃は標的型攻撃の可能性が高いと、研究者は高い確度で評価している。

ModiLoaderフィッシングキャンペーンがポーランドやルーマニア、イタリアを標的に

ESET – July 30, 2024

ESETの研究者は、2024年5月にModiLoaderを用いてポーランド、ルーマニア、イタリアの中小企業を標的にしていた9つのフィッシングキャンペーンを発見。ポーランドがこのうち7つのキャンペーンでターゲットにされていたことを突き止めた。情報窃取型マルウェアのRescoms、Agent Tesla、Formbookの拡散に使われたのはModiLoaderで、これは配布に使用するツールが2023年に観測されたキャンペーン（AceCryptorツールを利用）から変化したことを示唆している。フィッシングメールは主に既存の企業やその従業員を装っており、中には有害なISOファイルやRARアーカイブの添付ファイルが含まれていた。これらの添付ファイルを開くと、通常Microsoft OneDriveから次の段階のペイロードをダウンロードするために使われるModiLoaderの実行ファイルが起動する。

Microsoft OneDriveユーザー、フィッシング・ダウンローダーキャンペーンに狙われる

Trellix – July 29, 2024

Trellixの研究者は、Microsoft OneDriveユーザーを標的としたフィッシングおよびダウンローダーキャンペーンを発見した。首謀者はソーシャルエンジニアリングを用いてユーザーを騙し、PowerShellスクリプトを実行させていた。同キャンペーンは主に米国を標的にしているが、韓国やドイツ、インド、アイルランド、イタリア、ノルウェー、英国などのユーザーも影響を受けている。この攻撃では、まずユーザーにHTMLファイルを含むフィッシングメールを送信。そしてこのファイルが開かれると、DNSの問題を解決するために「Details（詳細）」ボタンをクリックするよう促す。被害者はその後にWindows PowerShellターミナルへアクセスし、コマンドをペーストして実行させられる仕組みだ。Base64でエンコードされたこのコマンドは、A3Xスクリプトと実行可能ペイロードAutoItを含むアーカイブファイルをダウンロードする。

CraxsRATキャンペーン、マレーシアの銀行組織を標的に

Group-IB – July 31, 2024

Group-IBの研究者は、マレーシアの銀行組織を標的にCraxsRATを配布するキャンペーンを発見した。このキャンペーンでは小売サービス、インフラ、食品・飲料、配送・物流、その他の消費者向けビジネス部門における国内の正規ブランドに扮したフィッシングサイトが複数使われており、これらのページは買い物のためにアプリをダウンロードするよう被害者に促す。ダウンロードされたアプリには被害者の認証情報を盗むCraxsRATが含まれており、これによって脅威アクターはアプリのインストール後20分以内に標的の銀行口座から金を引き出すことができる。CraxsRATはリモート管理ツールであり、キーロギングやジェスチャー操作、カメラ、画面、通話の記録など、リモートデバイスを制御する能力やスパイウェア機能を備えている。

ランサムウェアレポート無料配布中！

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

主なプレーヤーと被害組織
データリークと被害者による身代金支払い
ハクティビストからランサムウェアアクターへ
暗号化せずにデータを盗むアクターが増加
初期アクセス獲得に脆弱性を悪用する事例が増加
公に報告された情報、および被害者による情報開示のタイムライン
ランサムウェアのリークサイト – ダークウェブ上での犯行声明
被害者による情報開示で使われる表現
ランサムウェアに対する法的措置が世界中で増加
サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。