Earth Preta、新たな手法とマルウェアで東南アジアの政府機関を攻撃 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Earth Preta、新たな手法とマルウェアで東南アジアの政府機関を攻撃

Threat Report

APT

APT34

CacheHTTP

Earth Preta、新たな手法とマルウェアで東南アジアの政府機関を攻撃

nosa

nosa

2024.09.13

ウィークリー・サイバーラウンド・アップ

Earth Preta、新たな手法とマルウェアで東南アジアの政府機関を攻撃

Trend Micro – September 09, 2024

トレンドマイクロの研究者は、中国の脅威アクターEarth Pretaが使用する最新の戦略とマルウェアを分析した。このグループが行う攻撃では、HIUPANワームの亜種を通じてPUBLOADを拡散。PUBLOADは二次的な制御ツールとして機能するFDMTPや、代替的な情報抽出オプションとして使われるPTSOCKETなど、追加のツールをロードする際にも使用されている。一方、HIUPANは典型的なスピアフィッシングの手口を使わず、リムーバブルドライブ経由で配布されていた。さらに最近のスピアフィッシングキャンペーンでは、DOWNBAITやPULLBAITのような段階別で使うダウンローダーも複数使用されている。また、研究者らは多数のおとり文書をホストするWebDAVサーバーも特定しており、これらはミャンマーやフィリピン、ベトナム、シンガポール、カンボジア、台湾の特に政府機関を狙ったものと考えられる。

TIDRONE、台湾の軍事・衛星産業を標的に

Trend Micro – September 06, 2024

トレンドマイクロの研究者が、新たな脅威アクター「TIDRONE」を確認した。このグループは中国語を話すグループと関連があり、台湾の軍事関連産業(特にドローンメーカー)を標的にしている。攻撃ではERP(企業資源計画)ソフトウェアとリモートデスクトップを使い、新種のバックドアである「CXCLNT」と「CLNTEND」を展開する。CXCLNTはファイルの基本的なアップロード・ダウンロード機能に加え、痕跡の消去、標的情報の収集のほか、追加のポータブル実行可能ファイルをダウンロードする機能を搭載。CLNTENDはリモートアクセスツールで、TCO、HTTP、HTTPS、TLS、SMBなど、より幅広いネットワークプロトコルによる通信をサポートする。

イラン関与が疑われる新種のバックドア「Veaty」と「Spearal」がイラク政府を狙った攻撃で使用される

Check Point – September 11, 2024

Check Pointの研究者が「Veaty」および「Spearal」と名付けられた2つの新しいマルウェアを発見した。両マルウェアはイラクの政府系ネットワークを含む複数組織を狙った攻撃で使用され、二重の拡張子を使うことでPDFファイルを装った一連の実行可能ファイルによって配布されていた。どちらのマルウェアも、過去にイランの脅威アクターAPT34との関連が指摘されたマルウェアファミリー「Karkoff」と「Saitama」に類似することがわかっている。また、研究者は「CacheHTTP」と名付けられたIISモジュールのバックドアを確認しており、これはかつてイランの脅威アクターGreenBugに起因するとされたバックドアの新しいバージョンになる。このマルウェアの通信手法にはいくつか変更が加えられ、その方法はやはりAPT34に起因する別のIISバックドア「RGDoor」のものと一致した。研究者はRGDoorとCacheHTTPが同じツールの亜種の可能性があると評価しており、その理由にはAPT34とGreenBugの密接な関係のほか、戦術や標的が重複している点を挙げている。

Tropic Trooper、新種のChina Chopperで中東を標的に

SECURE LIST – September 5, 2024

カスペルスキーの研究者により、中国語を話す高度持続的脅威(APT)グループ「Tropic Trooper」が標的を中東にシフトしていることが確認された。同グループは2023年6月以降、政府機関を狙って新しいChina Chopper Webシェルの亜種を展開する執拗なキャンペーンを実施。China Chopperはオープンソースのコンテンツ管理システムUmbracoをホストする公開Webサーバー上で発見されたマルウェアで、Umbracoの.NETモジュールとしてコンパイルされていた。このサーバーではDLLサイドローディングを介してCobaltStrikeをドロップするために使うポストエクスプロイトツールやCrowdoorローダーを含め、その他の疑わしいインプラントやマルウェアクラスターもホストされている。

独立記念日を控えたブラジルでサイバー攻撃の増加が観測される

CloudSEK – September 7, 2024

CloudSEKの研究者は、2024年9月7日の独立記念日を前にブラジルを標的としたサイバー攻撃の急増を観測した。この3か月間で300件以上もの攻撃が確認されている。最も多かったのは政府系Webサイトや重要インフラを狙った改ざん攻撃で、そのほかにもデータ侵害、分散型サービス拒否攻撃、ランサムウェア、フィッシングなどが確認された。政府系以外では金融、ギャンブル・賭博業界にも大きな影響が及んでいる。最も活動的だった脅威グループはTeam R70で、自らのアジェンダを宣伝する目的で主に政府系Webサイトへの改ざん攻撃を行っていた。


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ