ウィークリー・サイバーラウンド・アップ
COLDWASTRELとCOLDRIVERの両アクター、ロシア反体制派をスピアフィッシングキャンペーンで狙う
Access NowとCitizen Labの研究者は、少なくとも2つのスピアフィッシングキャンペーンを発見した。これらは2022年10月から現在まで、ロシアとベラルーシの非営利組織、ロシアの独立系メディア、東欧の国際NGO、さらに米国の元駐ウクライナ大使を標的にして行われている。この活動はロシアのCOLDRIVERグループと、これまで文書化されていなかった脅威アクター「COLDWASTREL」によるものとされており、両アクターはオンラインアカウントにアクセスする目的で、標的を絞った非常に巧妙なソーシャルエンジニアリングを実施する。攻撃では通常、Proton Mailアドレスを使って標的と個別にメールのやり取りを開始。PDFを添付したり、リンクを埋め込んだりしてEメールサービスのログインページに扮したURLに誘導し、最終的に被害者からアカウントのセッションクッキーを取得する。
中国支援型アクター、 PlugYバックドアでロシアを標的に
Bleeping Computer – August 11, 2024
2024年7月下旬から、中国が支援していると思われるキャンペーン「EastWind」が行われていることをカスペルスキーの研究者が確認した。このキャンペーンはロシアの政府組織やIT企業を標的にしている。攻撃者はRARアーカイブの添付ファイルを含むフィッシングメールを使用し、DLLサイドローディングを使ってDropboxから標的のシステムにバックドアを投下する。このバックドアはトロイの木馬GrewApacha、CloudSorcererバックドアの更新版のほか、PlugYと名付けられた新たなバックドアなど複数のペイロードを配布するために使われる。研究者らは、APT27とAPT31が協力してこのEastWindキャンペーンを行っている可能性が高いと評価している。
UAC-0198フィッシングキャンペーン、ANONVNCマルウェアでウクライナを狙う
The Cyber Express – August 12, 2024
ウクライナのコンピュータ緊急対応チーム(CERT-UA)は2024年8月12日、ANONVNCマルウェアを配布するフィッシングキャンペーンにより、同国各州および地方政府のコンピュータ100台以上が危険にさらされていると警告した。このキャンペーンは2024年7月に始まったものと思われ、脅威アクターUAC-0198の関与が疑われている。ANONVNCはウクライナ保安局を発信者に見せかけたフィッシングメールで拡散され、このメールにはZIPファイルのダウンロードリンクが記載されているが、実際にはANONVNCを拡散させるMSIファイルがダウンロードされるようになっている。CERT-UAは同キャンペーンについて、ウクライナ以外にも被害が広がる可能性が高いとみている。
新興APTのActor240524、イスラエルとアゼルバイジャンを新種のローダーとマルウェアで攻撃
NSFOCUSの研究者は、2024年7月1日にアゼルバイジャンとイスラエルを攻撃した新たな高度持続的脅威(APT)グループ「Actor240524」を観測した。このキャンペーンではスピアフィッシングメールを使い、新しいローダーのABCloaderと新種のマルウェアABCsyncのペイロードが配布されている。ABCloaderはさまざまな手法でサンドボックスと解析を回避した後、標的のシステムにABCsync DLLをロードするために使用。一方のABCsyncはリモートシェルを実行し、ユーザーデータを変更するほか、ユーザーファイルを盗むように設計されている。研究者はこのキャンペーンについて、アゼルバイジャンとイスラエルの協力関係を狙い、両国の外交関係者をターゲットにしたものだと評価している。
ベネズエラ政府、大統領選の結果受けハクティビストの標的に
ベネズエラのニコラス・マドゥロ大統領の再選が不正を疑われていることを受け、同政権を標的にする複数のハクティビストグループをCheck Pointの研究者が観測した。このキャンペーンは「#OpVenezuela」と名付けられ、ハクティビストグループのAnonymousが関与を宣言。同グループは45件以上の政府系Webサイトに分散型サービス拒否(DDoS)攻撃を行ったほか、そのうちのいくつかをハッキングしたと主張した。また、Cyber HuntersやMS BOTNET Cyberhunter、Skull Huntersといったハクティビストグループも、ベネズエラの国営銀行や複数組織、マドゥロ大統領と関係のある企業に加え、同国政府や各省庁、さらに大統領府のWebサイトに対して継続的にDDoS攻撃を仕掛けている。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。