北朝鮮の関与が疑われる脅威アクターUNC2970、米国の重要インフラを標的に | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 北朝鮮の関与が疑われる脅威アクターUNC2970、米国の重要インフラを標的に

Threat Report

Android

Android TV

BURNBOOK

北朝鮮の関与が疑われる脅威アクターUNC2970、米国の重要インフラを標的に

Yoshida

Yoshida

2024.09.20

ウィークリー・サイバーラウンド・アップ

北朝鮮の関与が疑われる脅威アクターUNC2970、米国の重要インフラを標的に

Google Cloud – September 18, 2024

Mandiantの研究者は2024年6月以降、北朝鮮の関与が疑われる脅威アクター「UNC2970」のサイバースパイ活動を確認した。標的は米国の重要インフラに従事する人物で、著名企業の採用担当者に扮し、WhatsAppやEメールを介して偽の採用活動を展開する。最終的な目的は、BURNBOOKランチャーとTEARPAGEローダーを介してMISTPENバックドアを配布すること。UNC2970は被害者と接触後、職務概要を含むとされるPDFファイル形式の有害なアーカイブを共有する。この職務概要はシニアおよびマネージャーレベルの従業員を対象とし、被害者のプロフィールに応じて内容が修正されている。

新たなマルウェア「Vo1d」がAndroid TVボックス100万台以上に感染

Doctor Web – September 12, 2024

Doctor Webの研究者が「Vo1d」と名付けられた新しいマルウェアを特定し、世界197カ国で約130万台のAndroid TVボックスに感染していることを確認した。Vo1dはサードパーティのソフトウェアを密かにダウンロード/インストールできるバックドアで、ブラジルやモロッコ、パキスタン、サウジアラビアのほか、ロシア、アルゼンチン、エクアドル、チュニジア、マレーシア、アルジェリア、インドネシアで最も多く感染が検出された。標的はパッチが適用されていない脆弱性を含む旧バージョンのAndroidを実行するTVボックスのようだが、感染方法は今のところわかっていない。

米国と台湾の防衛産業会議が進行中のキャンペーンに狙われる

Cyble – September 13, 2024

Cybleの研究者は、米国と台湾が近日開催する防衛産業会議の関係者を対象に、あるキャンペーンが実施されていることを発見した。このキャンペーンは防衛関連の当局者、業界幹部、各政府の代表者などを標的にしていると考えられ、その目的はさらなる悪質な行為を行うための情報収集だと思われる。攻撃では当該会議用の正規の登録フォーム(PDF形式)に見せかけたLNKファイルを含むZIPアーカイブが使われており、初期感染ベクターはスパムメールまたはフィッシングメールを介したものである可能性が高い。

Gleaming Pisces、有害Pythonパッケージ経由でPondRATとPOOLRATを配布

Palo Alto Networks Unit 42 – September 18, 2024

架空の人物によってPyPIにアップロードされた有害なPythonパッケージを介し、LinuxとmacOS向けのバックドア「PondRAT」を配布する進行中のキャンペーンをPalo Alto Networks Unit 42の研究者が観測した。また、POOLRATのLinux亜種が配布されていることも確認されたが、このmacOS向けのリモート管理ツール(RAT)は過去にGleaming Piscesとの関連が判明している。このキャンペーンの首謀者は、まず開発者のエンドポイントを通じてサプライチェーン内のベンダーにアクセスした後、顧客のエンドポイントにアクセスすることを目的にしている可能性が高い。PondRATとPOOLRATのコードには類似性が認められており、PondRATはPOOLRATの簡易版との評価を受けている。

ランサムウェアレポート無料配布中!

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。

<レポートの主なトピック>

  • 主なプレーヤーと被害組織
  • データリークと被害者による身代金支払い
  • ハクティビストからランサムウェアアクターへ
  • 暗号化せずにデータを盗むアクターが増加
  • 初期アクセス獲得に脆弱性を悪用する事例が増加
  • 公に報告された情報、および被害者による情報開示のタイムライン
  • ランサムウェアのリークサイト – ダークウェブ上での犯行声明
  • 被害者による情報開示で使われる表現
  • ランサムウェアに対する法的措置が世界中で増加
  • サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
  • 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ