Telekopye、ホテル予約詐欺で観光客を狙う　ターゲットはBooking[.]comやAirbnb

ウィークリー・サイバーラウンド・アップ

Telekopye、ホテル予約詐欺で観光客を標的に

ESET – October 10, 2024

ESETの研究者により、オンラインマーケットプレイスでユーザーを騙すために使うTelegramボット「Telekopye」のオペレーションが拡大していることが観測された。攻撃者は最大限の金銭的利益を得るため、Booking[.]comやAirbnbといった人気のある宿泊予約プラットフォームをターゲットにし始めている。このホテル予約詐欺は2024年に急増しているTelekopyeによる新たな活動で、とりわけ夏の休暇シーズンに流行。最終的には支払手段として被害者にカード情報を要求し、これを悪用して金銭を盗んでいる。また、攻撃者の使用ツールと運用過程に改良が加えられていることも確認された。

Earth Simnavaz、バックドア「STEALHOOK」でUAEや湾岸諸国を狙う

Trend Micro – October 11, 2024

トレンドマイクロの研究者は、イランの国家支援型ハッカーグループ「Earth Simnavaz」による進行中のキャンペーンを確認した。ターゲットはUAEや湾岸諸国の政府機関で、攻撃にはMicrosoft Exchangeサーバーを活用して認証情報を盗む新しいバックドア「STEALHOOK」が使われている。盗まれた認証情報は、Earth Simnavazがさらなる攻撃に活用しているようだ。STEALHOOKはEメールデータの取得、Eメールの送信、ユーザー認証情報の収集が可能で、コードにはEarth Simnavazが過去のキャンペーンで使ったバックドア「Karkoff」と共通点がある。初期アクセスは脆弱なサーバーにアップロードされたWebシェル経由で獲得され、侵入後はカスタム.NETツールやPowerShellスクリプト、IISベースのマルウェアのほか、Ngrokなどのリモート監視ツールが使用される。

北朝鮮の不正なIT社員、恐喝目的で組織の知的財産を盗む

Secureworks – October 16, 2024

Secureworksの研究者は、IT関連のリモートワーカーを使ったスキームを展開するNICKEL TAPESTRYの戦術を分析した。このスキームは北朝鮮政府との関係性が指摘されており、一部のスキームでは不正なワーカーが内部関係者へのアクセスを取得した後、かつての雇用主に対して身代金を要求していることが確認されている。この活動によって示唆されているのは、NICKEL TAPESTRYが雇用関係の維持ではなく、恐喝によって金銭を得られる可能性に目をつけて、知的財産の窃取にまで手を広げているということだ。

SideWinder APT、StealerBotインプラントで中東とアフリカを標的に

SECURELIST – October 15, 2024

カスペルスキーの研究者は、高度持続的脅威（APT）グループ「SideWinder」が攻撃範囲を中東およびアフリカに拡大していることを確認した。ターゲットにされている部門は、政府・軍事関連組織、物流、インフラ・通信関連企業、金融機関、大学、石油取引会社など。SideWinderは新しいスパイツールキット「StealerBot」を使っていることも確認されており、現時点ではこれが主なポストエクスプロイトツールだと評価されている。SideWinderは通常、公開Webサイトから入手した情報を含む文書が添付されたスピアフィッシングメールを初期感染ベクターとして利用。これらの文書の中には、リモートテンプレートインジェクションの手法を駆使してRTFファイル（Microsoft OfficeのCVE–2017-11882を悪用するように設計されている）をダウンロードするものや、有害なLNKファイルを含むZIPファイルを使用するものが確認された。StealerBotにはプラグインが複数発見されており、これらによって追加のマルウェアのインストールやスクリーンショットの撮影、キー入力の記録、パスワードの窃取、RDP認証情報の傍受、ファイルの窃取、リバースシェルの起動、Windows認証情報のフィッシング、さらにUACのバイパスを介した特権昇格が可能となる。

イランの脅威アクターら、ブルートフォース攻撃で複数の重要インフラ組織を侵害

America’s Cyber Defense Agency – October 16, 2024

2024年10月16日、米国、カナダ、オーストラリアの当局は共同勧告を発表し、イランの脅威アクターらがブルートフォース攻撃やその他の手法を用いて重要インフラ部門の複数組織を侵害していると警告した。 これらの脅威アクターの目的は、初期アクセスの獲得、あるいはさらに不正な活動を行うための手段として、売却可能な認証情報や各種情報を入手することだとみられる。 標的にされている部門は医療および公衆衛生、政府関係、情報技術、エンジニアリング、エネルギー関連で、脅威アクターは偵察活動を行ってから被害者についての情報を収集。その後にパスワードスプレー攻撃や多要素認証消耗攻撃などのブルートフォース攻撃を行い、被害者のネットワークへの持続的なアクセスを取得する。アクセスを得た後は、オープンソースのツールや環境寄生型攻撃などの手法を使って追加で認証情報を収集し、特権を昇格させた上で、標的のシステムやネットワークに関する情報を手に入れる。

ランサムウェアレポート無料配布中！

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

• 主なプレーヤーと被害組織
• データリークと被害者による身代金支払い
• ハクティビストからランサムウェアアクターへ
• 暗号化せずにデータを盗むアクターが増加
• 初期アクセス獲得に脆弱性を悪用する事例が増加
• 公に報告された情報、および被害者による情報開示のタイムライン
• ランサムウェアのリークサイト – ダークウェブ上での犯行声明
• 被害者による情報開示で使われる表現
• ランサムウェアに対する法的措置が世界中で増加
• サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
• 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界