ウィークリー・サイバーラウンド・アップ
Peach Sandstorm、Ticklerバックドアで米国とUAEを標的に
マイクロソフトの研究者は2024年4月から7月にかけて、新種のマルチステージ型バックドアTicklerを展開するイランの国家支援型脅威アクターPeach Sandstormによる攻撃を観測した。このバックドアが標的にしていたのは、米国およびアラブ首長国連邦(UAE)の政府、防衛、衛星産業、石油・ガス部門の各組織。Peach Sandstormは通常、パスワードスプレー攻撃で初期アクセスを獲得し、C2には攻撃者が管理する不正なAzureサブスクリプションでホストされたAzureのインフラを活用していた。さらにこのグループは、米国と西ヨーロッパを拠点とする学生や開発者、人事担当者に見せかけたLinkedInのプロフィールを使って情報を集めていることも確認されている。
Tycoon 2FAフィッシングキャンペーンが複数確認される
ANY[.]RUNの研究者により、フィッシング・アズ・ア・サービスキットTycoon 2FAに関連する進行中のキャンペーンが複数確認された。そのうち一つは、Microsoft Teamsに扮して米国の政府機関をターゲットにするもの。このキャンペーンではTycoon 2FAの従来のフィッシングスキームが利用されているが、特に.govドメイン内の338組織のメールアドレスを狙うためにフィルタリングレイヤーを追加した最新の亜種が使われている。これ以外にも2つのTycoon 2FAキャンペーンが確認され、一方には侵害されたAmazon Simple Email Serviceのアカウントを介して送信されたフィッシングメールを使用。もう一方には偽のエラーメッセージでユーザーを騙してMicrosoft Outlookの認証情報を入力させる、別のアップデートされたTycoon 2FAの亜種が使われている。
APT32の関与疑われる攻撃、ベトナムの人権支援団体を標的に
Huntressの研究者らは先ごろ、ベトナムの非営利の人権支援団体が所有するシステムに何者かが侵入していたことを確認した。研究者らは4つの個別のホストを特定しており、これらは永続性確立のためにスケジュールされたタスクと実行キーを使ってCobalt Strikeを配布していた。攻撃者が使った不正なファイルは複数あり、中にはSteganography Loaderと重複する点が多いものも含まれていた。ターゲットや特定されたマルウェア、そして既知の戦術、技術、手順と重なる点がいくつかあることを踏まえ、研究者らはこの攻撃をAPT32によるものだと考えている。また、攻撃者は少なくとも4年間システムに潜伏していたと思われる。
攻撃手法「AppDomain Manager Injection」がCobalt Strikeビーコンの展開に使われる
Bleeping Computer – August 23, 2024
NTTの研究者は今年7月以降、「AppDomain Manager Injection」と名付けられた攻撃手法を利用するキャンペーンを観測している。これはCobalt Strikeビーコンを展開するために使用されるもので、この手法を用いた攻撃では台湾の政府機関、フィリピンの軍組織、ベトナムのエネルギー関連組織が標的にされている。この技法は2017年から使われており、侵入したシステム上で悪質な活動を行うためにDLLファイルが使用される。観測された攻撃では、攻撃者がまずマイクロソフトの有害スクリプトのコンポーネントファイルを含むZIPアーカイブを配布。標的がこのファイルを開くと、GrimResource手法を使って不正なコードが実行され、最終的に追加ペイロードの取り込みやラテラルムーブメントを行うために使われるCobalt Strikeビーコンが展開される。インフラだけでなく戦術、技術、手順にも重複する点が複数見られたことから、APT41による関与が示唆されている。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。