ウィークリー・サイバーラウンド・アップ
MirrorFaceが標的を拡大中 EUの外交機関も狙われるように
ESETの研究者は2024年第2四半期および第3四半期を通じ、中国系脅威アクターMirrorFaceの標的が日本にとどまらず欧州連合(EU)の外交機関にも拡大していることを確認した。このキャンペーンではANELおよびHiddenFaceバックドアを配布するため、来年大阪で開催予定の「2025年日本国際博覧会(大阪万博)」に関するおとりが使われている。また観測期間中はFlax Typhoon、Webworm、GALLIUMなど中国とつながりのある高度持続的脅威(APT)アクターが、アクセスを維持するためにSoftEther VPNをますます使うようになっていたことも確認された。
TA455、イランのDream JobキャンペーンでLazarus Groupの戦術を使う
ClearSky Cyber Security – November 12, 2024
ClearSkyの研究者は偽の求人情報を航空宇宙、航空、防衛業界に送りつける新たなキャンペーン「Iranian Dream Job」を特定し、Charming KittenのサブグループであるTA455との関連性を指摘した。首謀者の目的は、SlugResinバックドアを起動するために使われるSnailResinマルウェアを配布すること。遅くとも2023年9月から実施されているこのDream Jobキャンペーンについて、研究者は特にLazarus Groupといった北朝鮮の脅威アクターが使う戦術やツールを真似ていると評価しており、実際にDLLサイドローディング攻撃でLazarus Groupが使用したものと重複する類似のルアー、攻撃手法、マルウェアファイルが使われている。重複が見られるという点から、TA455が自身の仕業だと分からないようにLazarus Groupを装おうとしていた、あるいは北朝鮮がイランと攻撃手法やツールを共有していたことがうかがえる。
GuLoader、ヨーロッパの工業およびエンジニアリング業界を標的に
Cadoの研究者により、ヨーロッパの工業およびエンジニアリング企業を標的にした新たなGuLoaderキャンペーンが発見された。GuLoaderはRemcos、NetWire、AgentTeslaといったリモートアクセス型トロイの木馬の配信に使われるシェルコードダウンローダーで、ルーマニアやポーランド、ドイツ、カザフスタンなどの企業にスピアフィッシングメールを介して配信される。このEメールは偽の企業または侵害されたアカウントから送信され、注文の問い合わせに見せかけてメールスレッドをハイジャックする、あるいは注文についての情報を要求することが多い。これらのEメールには圧縮されたバッチファイルを含むアーカイブファイルが添付されており、これがGuLoaderの第1段階として機能する。
CloudComputatingがQSCフレームワークをサイバースパイ活動に使用
カスペルスキーの研究者は2021年、CloudComputatingグループが南アジアの通信業界を狙った攻撃で使ったマルチプラグインマルウェアフレームワーク「QSC」を発見した。QSCはプラグインをメモリにロードして実行し、スタンドアロンの実行可能ファイルまたはローダーDLLと共にペイロードファイルとしてドロップされる。このフレームワークにはローダー、コアモジュール、ネットワークモジュール、コマンドシェルモジュール、ファイルマネージャーモジュールが含まれている。2023年10月にはさらなる攻撃が確認され、2022年から標的のデバイスに存在するQuarianバックドアを介して取得したアクセスをQSCが活用。攻撃者らは2023年10月17日に初めて確認された新しいGo言語バックドア「GoClient」も展開した。
ランサムウェアレポート&インテリジェンス要件定義ガイド、無料配布中!
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価