ウィークリー・サイバーラウンド・アップ
米大統領選投票日に技術的な問題が発生、爆破予告や外国からの影響力工作にも対応を余儀なくされる
米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁は4日、大統領選挙を狙ったロシアとイランの影響力工作について警告する共同声明を発表し、ロシアのオペレーションは激戦州を標的とした偽コンテンツに重点を置いているが、イランのアクターも投票妨害や暴力の扇動を目的とした偽コンテンツを作成しようとしている可能性があると指摘した。一方、ジョージア州のフルトン郡警察は複数の投票所に対する爆破予告に対応し、ユニオンシティで少なくとも2か所の投票所が一時閉鎖されたと報告。連邦捜査局(FBI)も複数州の投票所に対する爆破予告について声明を発表し、その多くはロシアのEメールドメインから発信されたようだとの見解を示した。さらにペンシルベニア州カンブリア郡では、投票所の開場後に技術的な問題が発生し、投票用紙をスキャンできなくなったために投票時間が延長されている。
LastPass詐欺キャンペーン、カスタマーサポートへの偽電話番号を使ってデータを窃取
Bleeping Computer – November 1, 2024
LastPassが進行中の詐欺キャンペーンについて警告している。これはChrome拡張機能のレビューに記したLastPassの偽カスタマーサポートへの電話番号を使うもので、この番号に電話をかけたユーザーはあるサイトへ誘導され、ConnectWise ScreenConnectエージェントをダウンロードするためのコードの入力を求められる。これにより、攻撃者は被害者のデバイスにフルリモートアクセスが可能になり、データを盗み出すことができるようになる。さらにBleepingComputerは、この番号がはるかに大規模なキャンペーンにリンクされていることも発見。AmazonやAdobe、Facebook、Huluなど、さまざまな企業のカスタマーサポートとしても宣伝されていることを突き止めた。この電話番号はChrome拡張機能のレビューに加え、企業のフォーラムやRedditにも投稿されている。
エミュレートされたLinux環境がWindowsシステムのバックドア化に利用される
Securonixの研究者が、新たなフィッシングキャンペーン「CRON#TRAP」を観測した。同キャンペーンでは有害なショートカットファイルを使用し、QEMUでエミュレートされたカスタムLinux環境を配信する。このエミュレートされたLinuxインスタンス「Tiny Core Linux」には、Webソケット経由で攻撃者のC2サーバーに自動的に接続するバックドアが事前に備わっている。感染はアンケートを装ったフィッシングメールを介して引き起こされているとみられ、これには大きなZIPファイルをダウンロードするためのリンクが含まれる。また感染チェーンを始めるためにPowerShellコマンドが使われており、これによってエミュレートされたLinux環境につながり、アンチウイルスソリューションの回避が可能になる。バックドアのChiselバイナリはトンネリングツールで、ファイアウォールをくぐって密かにデータを送信する目的でよく使用されている。
Storm-0940、パスワードスプレー攻撃でマイクロソフトの顧客を標的に
マイクロソフトの研究者は2023年8月以降、中国の脅威アクターStorm-0940が高度な回避能力を持つパスワードスプレー攻撃を通じ、同社の顧客から認証情報を盗んでいることを確認している。この攻撃の起点は侵害されたSOHOルーター(主にTP-Linkルーター)のネットワークに関係していると考えられており、これらは「CovertNetwork-1658」として追跡されている。Storm-0940は遅くとも2021年から活動しており、北米およびヨーロッパのシンクタンク、政府機関、非政府組織、防衛産業基盤などといった組織を標的にすることで知られる。同脅威アクターは当初、標的となったルーターの脆弱性を悪用してリモートコード実行を可能にしていたとみられるが、現時点で具体的な手口についてはわかっていない。脆弱なルーターへのアクセス権を獲得すると、Telnet経由でデバイスへのリモートアクセスを可能にするカスタムマルウェアが展開される。
著作権違反関連のルアーを使い、Rhadamanthysを配布するキャンペーンが進行中
Check Point – November 6, 2024
Check Pointの研究者は、Rhadamanthysスティーラーの最新バージョンを配布する新たな大規模スピアフィッシングキャンペーン「CopyRh(ight)adamantys」を観測した。このキャンペーンは米国、ヨーロッパ、東アジア、南米などさまざまな地域のユーザーを狙い、ターゲットのFacebookページが著作権に違反している旨を主張するもので、遅くとも2024年7月から攻撃が続いている。フィッシングメールは通常、数十社の企業を装ってGmailアカウントから送信され、標的によってなりすます企業や使用言語が変えられている。また攻撃者が扮する企業の約70%は、テクノロジーまたはエンターテインメント業界の企業だという。メールには偽のAdobe EPSファイルかPDFファイルを表示しつつ、DLLサイドローディング経由で感染を引き起こすアーカイブファイルが含まれている。
ランサムウェアレポート&インテリジェンス要件定義ガイド、無料配布中!
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価