北朝鮮アクターAPT37、VeilShellバックドアでカンボジアを標的に | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 北朝鮮アクターAPT37、VeilShellバックドアでカンボジアを標的に

Threat Report

APT

APT37

Cobalt Strike

北朝鮮アクターAPT37、VeilShellバックドアでカンボジアを標的に

nosa

nosa

2024.10.11

ウィークリー・サイバーラウンド・アップ

APT37、VeilShellバックドアでカンボジアを標的に

Securonix – October 3, 2024

Securonixの研究者は、北朝鮮の脅威アクターAPT37との関連が指摘される進行中のキャンペーン「SHROUDED#SLEEP」を発見した。この脅威アクターはフィッシングメールを利用し、新しいバックドア「VeilShell」を配布。これに感染したマシンは、攻撃者にフルアクセスを許してしまう。地理的なテレメトリーデータと観測されたフィッシングルアーから考えて、このキャンペーンの主な標的はカンボジアとみられるが、ほかの東南アジア諸国にもターゲットを広げている可能性がある。VeilShellはPowerShellベースのマルウェアで、機能としてはファイルに関する情報を収集し、特定のフォルダをZIPアーカイブに圧縮してC2サーバーにアップロード。指定されたURLからファイルをダウンロードし、ファイルの名称変更と削除を行ってからZIPアーカイブを解凍する性能を備えている。

Luaマルウェアがゲーミングルアーで教育分野を狙い、インフォスティーラーを配布

Morphisec – October 8, 2024

学生ゲーマーコミュニティにおけるLuaベースのゲームエンジンサプリメントの人気を利用し、教育部門を狙う進行中のマルウェアキャンペーンについて、Morphisecの研究者が詳細を報告した。パッキングされた新たなLuaローダーは今年3月に初めてOALabsの研究者が発見しており、Morphisecは過去1年間でその配布方法が簡素化されていることに注目していた。Luaマルウェアは、特にRedlineなどのインフォスティーラーマルウェアを配信するのに使用される。感染攻撃は通常、ユーザーがGitHubなどのプラットフォームからゲームのチートに偽装されたインストーラーやZIPファイルをダウンロードすることで始まる。この偽チートは検索エンジン最適化を利用した広告を通じてユーザーに提示され、検知を回避するために、コンパイルされたLuaバイトコードではなく、難読化されたLuaスクリプトを使って配られることが多い。これを実行した後、C2サーバーからは2種類のタスクが提供される。一方は持続性の維持、あるいはプロセスを隠すためのLuaローダーのタスクで、もう一方は新しいペイロードのダウンロードと設定に重点を置いている。

米国襲うハリケーンが詐欺やマルウェア拡散に悪用される

Veriti – October 8, 2024 

米フロリダ州を襲ったハリケーン「ヘレン」など最近のハリケーンに関連するルアーを使い、個人や組織を狙うハッカーについてVeritiの研究者が警告した。新たに3つの主な脅威として確認されたのは、米連邦緊急事態管理庁(FEMA)関連の架空請求、ハリケーン関連ドメインを使用したフィッシング攻撃、そしてマルウェアを配信するFEMA関連ファイルだ。米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁も8日に同様の警告を発し、有害なサイバー活動の可能性がある事象への警戒を怠らないよう呼びかけるとともに、大規模な自然災害に続いてEメールやソーシャルメディアを使った詐欺行為が頻発すると指摘した。

複数のDNSトンネリングキャンペーンが重要産業を狙い、カード情報を窃取

Unit 42 – October 4, 2024

パロアルトネットワークスUnit 42の研究者により、最近展開された4件のドメインネームシステム(DNS)トンネリングキャンペーンが特定された。最初のキャンペーンは「FinHealthXDS」と名付けられたもので、Cobalt StrikeのC2通信用にカスタマイズされたDNSビーコン形式を使う12件のドメインを通じ、金融および医療業界を標的としている。2つ目のトンネリングキャンペーンは「RussianSite」と命名され、こちらは100件以上のドメインで構成。そのすべてがロシアの同じネームサーバーのIPアドレスを共有しているほか、高等教育の10組織を標的にしていることが確認された。一方、第3のキャンペーンは「8NS」と呼ばれ、Hilotiファミリーのマルウェアを含む複数のトロイの木馬によって実行。4番目のキャンペーン「NSfinder」は50件以上のドメインで構成され、ヨーロッパを中心とした複数の不正なIPアドレスに関連している。NSfinderはアダルトサイトを立ち上げて被害者を誘い込み、カード情報を入力させて攻撃を行う。


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ