ウィークリー・サイバーラウンド・アップ
北朝鮮の関与が疑われる脅威アクターUNC2970、米国の重要インフラを標的に
Google Cloud – September 18, 2024
Mandiantの研究者は2024年6月以降、北朝鮮の関与が疑われる脅威アクター「UNC2970」のサイバースパイ活動を確認した。標的は米国の重要インフラに従事する人物で、著名企業の採用担当者に扮し、WhatsAppやEメールを介して偽の採用活動を展開する。最終的な目的は、BURNBOOKランチャーとTEARPAGEローダーを介してMISTPENバックドアを配布すること。UNC2970は被害者と接触後、職務概要を含むとされるPDFファイル形式の有害なアーカイブを共有する。この職務概要はシニアおよびマネージャーレベルの従業員を対象とし、被害者のプロフィールに応じて内容が修正されている。
新たなマルウェア「Vo1d」がAndroid TVボックス100万台以上に感染
Doctor Web – September 12, 2024
Doctor Webの研究者が「Vo1d」と名付けられた新しいマルウェアを特定し、世界197カ国で約130万台のAndroid TVボックスに感染していることを確認した。Vo1dはサードパーティのソフトウェアを密かにダウンロード/インストールできるバックドアで、ブラジルやモロッコ、パキスタン、サウジアラビアのほか、ロシア、アルゼンチン、エクアドル、チュニジア、マレーシア、アルジェリア、インドネシアで最も多く感染が検出された。標的はパッチが適用されていない脆弱性を含む旧バージョンのAndroidを実行するTVボックスのようだが、感染方法は今のところわかっていない。
米国と台湾の防衛産業会議が進行中のキャンペーンに狙われる
Cybleの研究者は、米国と台湾が近日開催する防衛産業会議の関係者を対象に、あるキャンペーンが実施されていることを発見した。このキャンペーンは防衛関連の当局者、業界幹部、各政府の代表者などを標的にしていると考えられ、その目的はさらなる悪質な行為を行うための情報収集だと思われる。攻撃では当該会議用の正規の登録フォーム(PDF形式)に見せかけたLNKファイルを含むZIPアーカイブが使われており、初期感染ベクターはスパムメールまたはフィッシングメールを介したものである可能性が高い。
Gleaming Pisces、有害Pythonパッケージ経由でPondRATとPOOLRATを配布
Palo Alto Networks Unit 42 – September 18, 2024
架空の人物によってPyPIにアップロードされた有害なPythonパッケージを介し、LinuxとmacOS向けのバックドア「PondRAT」を配布する進行中のキャンペーンをPalo Alto Networks Unit 42の研究者が観測した。また、POOLRATのLinux亜種が配布されていることも確認されたが、このmacOS向けのリモート管理ツール(RAT)は過去にGleaming Piscesとの関連が判明している。このキャンペーンの首謀者は、まず開発者のエンドポイントを通じてサプライチェーン内のベンダーにアクセスした後、顧客のエンドポイントにアクセスすることを目的にしている可能性が高い。PondRATとPOOLRATのコードには類似性が認められており、PondRATはPOOLRATの簡易版との評価を受けている。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。