ウィークリー・サイバーラウンド・アップ
Lazarus GroupがBeaverTailマルウェアの機能と配布方法を刷新
Group-IBの研究者は2024年8月半ば、Lazarus GroupのBeaverTailマルウェアの新たな配布方法と新しいPythonバージョンを確認した。新バージョンは永続性の確立やAnyDeskの設定といった機能が刷新されたほか、CivetQと総称される複数のPythonスクリプトを取得。これがバックドアやキーロガー、インフォスティーラーとして機能する。Lazarus Groupは当初、BeaverTailの配布にLinkedInの偽の就職面接ファイルを使用することが確認されていたものの、その後にほかの就職検索プラットフォームも使っていることが判明している。同グループは通常、連絡手段をTelegramに変えるよう被害者に要求し、そこから面接プロセスの一環として偽のWindowsビデオ会議アプリやnode.jsファイルをダウンロードするよう求める。Lazarus Groupはまた、攻撃対象を暗号資産関連のリポジトリ以外にも拡大しており、ゲーム関連のリポジトリに有害なJavaScriptを注入し始めている。
Revival Hjiack:PyPIを乗っ取る新たな手法が実際の攻撃で悪用される
JFrogの研究者らは、PyPIを狙ったサプライチェーン攻撃の新たな手法「Revival Hjiack」が、ソフトウェアパッケージを乗っ取る目的で悪用されていることを確認した。この手法は、元の所有者によってPyPIのインデックスから削除されたパッケージを再登録するオプションを操作するもの。研究者らは、既存のPyPIパッケージ2万2,000件を乗っ取る目的で当該手法が使われた後、有害パッケージが数十万件ダウンロードされる恐れがあると警告している。
SLOW#TEMPESTキャンペーン、Cobalt Strikeで中国語圏のユーザーを狙う
Securonixの研究者は、Cobalt Strikeを使って中国語圏のユーザーを標的にする進行中のキャンペーン「SLOW#TEMPEST」を確認した。このペイロードは、おそらくフィッシングメール経由でZIPファイル内のLNKファイルを介して配布される。中にはZIPファイルがパスワードで保護され、LNKファイルがMicrosoft Wordのファイルに扮して検知を回避しているケースもあった。LNKファイルにはDLLファイルと、Microsoftによる正規の署名付き実行ファイルが含まれており、Cobalt Strikeを配信するためにDLLサイドローディングの手法が使われている。ルアーで使用されている言語を踏まえ、このキャンペーンは中国関連の企業または政府部門をターゲットにしている可能性があると、研究者らは考えている。
NATOをルアーにFreezeとHavocを配布するキャンペーン、チェコ政府関係者を標的に
NATOをテーマにしたルアーを使い、チェコ共和国の政府機関と軍関係者を標的とする新たなマルウェアキャンペーンをSeqriteの研究者が確認した。「Operation Oxidový」と名付けられたこのキャンペーンでは、RustベースのローダーFreezeを配布。これを使ってポストエクスプロイトフレームワークのHavocを構成するDemon DLLがロードされ、LNKファイルを含む有害なZIPファイルを介してマルウェアが配布される。キャンペーン自体は遅くとも2024年5月から始まったとみられている。攻撃者のインフラを調査したところ、カスタムのSliverステージャーをダウンロードするものなどを含め、類似したローダーのサンプルがさらに見つかった。研究者は中程度の確度で、このキャンペーンにロシア起源の脅威アクターが関与していると評価している。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。