ウィークリー・サイバーラウンド・アップ
Earth Kasha、テクノロジー企業と政府機関狙ってLODEINFOやNOOPDOORを展開(CVE-2023-28461、CVE-2023-45727、CVE-2023-27997)
Trend Micro – November 19, 2024
トレンドマイクロの研究者は、脅威アクターEarth Kashaが2023年初頭から2024年初頭にかけて、新たなスピアフィッシングキャンペーンの一環として日本、台湾、インドの先進テクノロジー企業と政府機関にターゲットを拡大していることを確認した。Earth KashaはSSL-VPNやファイルストレージサービスなど外部公開されたアプリケーションを初期アクセスベクターとして利用していることに加え、CVE-2023-28461、CVE-2023-45727、CVE-2023-27997といったエンタープライズ製品の脆弱性を悪用していることが観測されている。攻撃ではアクセスを取得した後、永続化を確立するためにCobalt Strike、LODEINFO、NOOPDOORなど複数のバックドアが展開されていた。また被害者の情報と認証情報の窃取という主な目的を遂行するため、正規のWindowsツールやカスタムクレデンシャルダンパー「MirrorStealer」なども使われている。複数の研究者からEarth Tengsheによる別のキャンペーンと重複する点があると指摘されており、両グループともAPT10との関連が疑われるほか、戦術やツールを共有している可能性がある。
Docusignを使った最新のキャンペーン、さまざまな政府機関を装う
SlashNextの研究者は、州市町村およびライセンス認可機構とやり取りする企業を標的とした、Docusignを使った新しいフィッシング攻撃キャンペーンについて注意を呼びかけた。この最新のキャンペーンでは米国のさまざまな政府機関に偽装した攻撃が展開され、まず州の認可委員会を装ってゼネコンにDocusign上の依頼と思われるものを送りつける。本物に見えるようにDocusignの正規のインフラが使用されたメッセージには、正確に設定された価格や業界に馴染みのある用語を記載。認可の過程で関与すると予想される企業がターゲットにされている。なお、メッセージは実際のDocusignアカウントから送信されるため、メールのセキュリティフィルターをバイパスしてしまう。研究者は2024年9月および10月全体と比較して、2024年11月8日〜11月14日の間に使用されたDocusignのフィッシングURLが98%増加したことを確認した。
LIMINAL PANDA、諜報目的で電気通信部門を標的に
CrowdStrike – November 19, 2024
CrowdStrikeの研究者は、中国との関連が疑われる国家支援型脅威アクター「LIMINAL PANDA」について詳細を明らかにした。LIMINAL PANDAは遅くとも2020年から電気通信事業者を標的にしており、その攻撃手法はプロバイダー間の相互接続について理解があることを含め、電気通信ネットワークに関する造詣が深いことを示唆している。また同アクターは、侵害されたサーバーを使ってほかの地域のプロバイダーにも侵入行為を行っている。主な標的はアジアとアフリカで、中国の諜報活動をサポートするためにターゲットを絞って侵入行為を行っている可能性が高い。攻撃ではカスタムマルウェア、一般に入手可能なツール、プロキシソフトウェアを組み合わせ、異なるネットワークセグメント経由でC2通信をルーティングしている。さらにLIMINAL PANDAは、遅くとも2016年から活動しているLightBasin活動クラスターに類似していることが確認された。
SilkSpecterのフィッシングキャンペーンでブラックフライデーの買い物客が狙われる
EclecticIQ – November 14, 2024
EclecticIQの研究者は2024年10月初旬、ヨーロッパと米国のEコマース利用者を標的とするフィッシングキャンペーンを発見した。このキャンペーンでは偽のブラックフライデー割引がルアーとして使われ、被害者を騙してカード会員データ(CHD)やセンシティブ認証データ、個人識別情報を提供させようとする。研究者は同キャンペーンのインフラと言語指標を根拠に、金銭的動機に基づく中国の脅威アクターSilkSpecterによる犯行だと、高い確度で評価している。
PXA Stealer、ヨーロッパとアジアの教育および政府部門を標的に
Cisco Talos – November 14, 2024
Cisco Talosの研究者は、インドの教育機関とスウェーデンやデンマークを含むヨーロッパの政府機関を標的に、新たなインフォースティーラー「PXA Stealer」を配布しているキャンペーンを確認した。 PXA StealerはオンラインアカウントやVPNおよびFTPクライアント、ブラウザのクッキー、ゲームソフトウェアのデータなどの認証情報をターゲットにしており、被害者のブラウザのマスターパスワードを解読する能力や、これを使ってオンラインアカウントの保存された認証情報を盗む機能も備えている。攻撃者は、有害なRustローダーの実行ファイルと隠しフォルダを含むZIPファイルが添付されたフィッシングメールを送信することで初期アクセスを獲得する。研究者らにより、この攻撃の実行犯はベトナムに起源があると評価されているほか、脅威アクターCoralRaiderも利用するTelegramチャンネル「Mua Bán Scan MINI」で認証情報とツールを販売していることが確認されている。
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価