ウィークリー・サイバーラウンド・アップ
KimsukyとAndariel、悪用されたVPNアップデートで韓国を標的に
Bleeping Computer – August 5, 2024
韓国の国家サイバー安保センターは、北朝鮮の国家支援型ハッカーらがVPNのソフトウェア更新における脆弱性を悪用し、マルウェアを展開してネットワークに侵入していると警告する注意勧告を発した。この活動はKimsukyとAndarielの両脅威アクターによって実行されており、北朝鮮の金正恩総書記が2023年1月に発表した全国工業工場近代化プロジェクトとの関連が指摘されている。Kimsukyは2024年1月、韓国の建設業界組織のWebサイトを侵害し、訪問者にマルウェアを配布。一方のAndarielは2024年4月、韓国のVPNソフトウェアの通信プロトコルにおける脆弱性を悪用し、DoraRATをインストールする偽のソフトウェアアップデートを拡散した。
Bloody Wolf、カザフスタンの複数組織をSTRAATで攻撃
BI[.]ZONEの研究者は2023年後半から、脅威アクターBloody Wolfによる進行中のキャンペーンを追跡している。このキャンペーンはカザフスタンの複数組織にSTRAATマルウェアを展開するもので、攻撃には同国財務省やその他の機関を名乗ったフィッシングメールが使用される。さらにネットワークセキュリティソリューションを回避するため、侵害されたシステムとの通信にPastebinが使われた。先述のEメールで配布されるのは、有害なJARファイルへのリンクを含むPDFの添付ファイルだけでなく、マルウェアの機能に必要なJavaインタプリタのインストールガイドへのリンク2件。2つ目のリンクは被害者をカザフスタン政府のWebサイトに誘導し、e-Govポータルを正しく操作するためにJavaをインストールするよう促す。
StormBambooがISPを侵害し、安全でないソフトウェア更新メカニズムを介してマルウェア拡散
Volexityの研究者により、脅威アクターStormBambooが標的組織のドメインネームシステム(DNS)応答をポイズニングする目的でインターネットサービスプロバイダー(ISP)を侵害したことが確認された。StormBambooが展開したマルウェアはMACMAの新たな亜種で、この最新の亜種はMACMAマルウェアファミリーとGIMMICKマルウェアファミリーを融合させたもの。ポイズニングされたのは、保護の不十分な自動ソフトウェアアップデートに紐づけられた特定ドメインのDNSクエリ応答。これらのアップデートではHTTPなどの安全でない更新メカニズムが使われており、インストーラーのデジタル署名が適切に検証されない状態になっていた。標的となったmacOSおよびWindowsデバイスには、MACMAとPOCOSTICKの両マルウェアがそれぞれインストールされている。StormBambooはその後、RELOADEXTと名付けられた有害なGoogle Chrome拡張機能を展開し、被害者のGoogle Driveアカウントからデータを抜き出した。
Rhadamanthysスティーラー、著作権違反関連ルアーでイスラエルのユーザーを標的に
セキュリティ研究者のMaor Dayan氏は、イスラエルのユーザーを標的としたRhadamanthysスティーラーキャンペーンを特定した。首謀者はイスラエルのニュースメディアCalcalistおよびMakoからの連絡を装った、著作権侵害に関する件名のヘブライ語のメールをおとりとして用いる。このEメールには重要な法的文書を装った有害なRARアーカイブ形式の添付ファイルが含まれており、これを実行するとアンチ解析および防御対策の回避テクニックを複数含む複雑な多段階感染が開始される。最終的に正規のWindowsプロセスへのインジェクションを通じてRhadamanthysが配布され、スティーラーの持続性を確保するためにレジストリの改ざんが行われる。
STAC6451がMSSQLサーバーを悪用 ランサムウェアでインドの複数組織を狙う
ソフォスの研究者は2024年3月下旬から、STAC6451と呼ばれる脅威グループを観測していた。インドの複数組織を標的にするこのグループは、ポート1433を通じてインターネットに直接公開されたMicrosoft SQL(MSSQL)データベースサーバーを悪用する手法を使用。STAC6451の特徴には、初期アクセスにMSSQLサーバーを悪用する点、有害ペイロードをステージングするためにbcp(一括コピープログラム)ユーティリティを使用する点、そしてバックドアアカウントを作成するためにPython Impacketライブラリを使う点が挙げられる。また、攻撃のごく一部ではMimicランサムウェアを配布しようとする試みが確認されており、その他のケースではデータ収集のほか、情報の抜き取りが行われた可能性が高い。STAC6451が標的とするMSSQLデータベースサーバーは多くの場合、単純なアカウント認証情報が含まれているため、ブルートフォース攻撃に脆弱な状態となっている。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。