ウィークリー・サイバーラウンド・アップ
北米の運輸・物流関連企業群がマルウェアキャンペーンの標的に
Proofpoint – September 24, 2024
Proofpointの研究者は今年5月から、北米の運輸・物流企業群を標的として、さまざまなマルウェアペイロードを配信する活動群を観測している。攻撃者は5月〜7月にかけて、主にLumma Stealer、StealC、またはNetSupportを配布。8月には戦術を変更し、新しいインフラと「ClickFix」の技法を使ってDanaBotやArechclient2などのマルウェアをばら撒いていた。攻撃では正規のメールアカウントを侵害した後、やり取りが行われているメールに有害コンテンツを挿入し、GoogleドライブのURLや添付ファイルなどを介してマルウェアを配布する。ClickFixの手法を使用したキャンペーンは、Base64エンコードされたPowerShellスクリプトのコピー、貼り付け、実行といった複数の手順をユーザーに実行させるもので、このスクリプトによってMSIファイルのダウンロードとDanaBotのロードが行われる。
UNC1860、ステルス性の高いパッシブインプラントで中東のネットワークを狙う
Google Cloud – September 20, 2024
イランの国家支援型脅威アクター「UNC1860」について、Mandiantの研究者が分析した。このアクターは中東の政府および通信部門を標的とした攻撃を可能にする初期アクセスプロバイダーだろうと評価されており、優先度の高いネットワークに持続的にアクセスできるよう、特殊なツールとパッシブバックドアを使用している。利用しているツールはGUI操作型のマルウェアコントローラーである「TEMPLEPLAY」と「VIROGREEN」で、TEMPLEPLAYはTEMPLEDOORバックドアのコントローラーとして使われているのに対し、VIROGREENはCVE-2019-0604を利用して脆弱なSharePointサーバーを悪用するように設計されている。UNC1860の技術およびターゲットにはShrouded Snooper、Scarred Manticore、Storm-0861グループのそれらと重複が見られる。また研究者らは、APT34とUNC1860の双方が同じ被害者の環境内で活動していたことから、両グループがツールとアクセスを共有していた可能性があると指摘している。
SloppyLemmingがクラウドサービスプロバイダーを悪用し、アジア諸国の複数組織を攻撃
Cloudflare – September 25, 2024
Cloudflareの研究者は、脅威アクターSloppyLemmingがクラウドサービスプロバイダーを悪用し、パキスタンやスリランカ、バングラデシュ、中国の政府、防衛、エネルギー、電気通信、テクノロジー各部門を狙って広範な作戦を展開していることを確認した。この活動は2022年後半に初めて観測され、現在も継続されている。SloppyLemmingはCloudPhishと名付けられたカスタムツールを使い、有害なCloudflare Workerを作成。これを使って認証情報のロギングロジックと被害者の認証情報の持ち出しを処理し、最終的には情報的価値があると判断した組織内のメールアカウントにアクセスすることを目的としている。初期感染ベクターとしては、被害者を認証情報の採取ページと詐欺サイトの両方にリダイレクトするスピアフィッシングメールが使われている。
ICICI銀行のユーザーがフィッシングキャンペーンの標的に 有害なアプリとWebサイトが使われる
セキュリティ研究者のRakesh Krishnan氏により、ICICI銀行のユーザーを狙ったフィッシングキャンペーンが観測された。このキャンペーンでは同銀行を装った有害なホストと、ICICI Helpdeskに扮した有害アプリが使われている。有害ドメインは2024年8月22日に登録され、Hostingerの下でホストされたもので、AS番号はキプロスのものであることが判明している。このAS番号は以前、TA557がPikaBotをホストするために使用しており、GuLoader、AgentTesla、NetSupportRATなどのマルウェアもホストされていた。一方、有害アプリは2024年8月から稼働しているが、広く使われている形跡はこれまで確認されていない。ダウンロードページを見る限り、ダウンロード数は50万を超えているが、この数字はユーザーを騙してアプリをインストールさせるために誇張された可能性が高いと同氏は指摘している。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。