台湾狙った攻撃でSmokeLoaderが展開される | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > ウィークリーサイバーダイジェスト > 台湾狙った攻撃でSmokeLoaderが展開される

ウィークリーサイバーダイジェスト

APT

Silobreaker-WeeklyCyberDigest

ロシア

台湾狙った攻撃でSmokeLoaderが展開される

nosa

nosa

2025.10.30

ウィークリー・サイバーラウンド・アップ

SmokeLoaderを展開する攻撃が観測される 標的は台湾の複数部門(CVE-2017-0199、CVE-2017-11882)

Fortinet – December 2, 2024

Foritnetの研究者は2024年9月、台湾の複数企業にSmokeLoaderを配布するキャンペーンを観測した。標的にされたのは製造、医療、情報技術などの各部門で、初期感染ベクターにはネイティブの単語やフレーズを使うフィッシングメールを使用。これらのメールにSmokeLoaderを展開するMicrosoft Excelファイルが添付されており、CVE-2017-0199およびCVE-2017-11882を悪用してAndeLoaderをドロップする。SmokeLoaderはステージャーとメインモジュールで構成され、メインモジュールを復号・解凍してエクスプローラーの実行可能プロセスに挿入することがステージャーの主な目的になる。SmokeLoaderは複数のプラグインをダウンロードした結果生じる攻撃を自ら実行しており、各プラグインにはWebブラウザやMicrosoft Outlook、Mozilla Thunderbird、FileZilla、WinSCPからログイン認証情報およびFTP認証情報、メールアドレス、Cookieなどを盗む機能が備わっている。

Horns&Hoovesキャンペーン、ロシアの標的にNetSupport RATと BurnsRATを配信

SECURELIST – December 2, 2024

カスペルスキーの研究者が「Horns&Hooves」と呼ばれる新しいキャンペーンを特定した。このキャンペーンは主にロシアの個人ユーザーや小売業者、サービス企業を狙い、リモートアクセス型トロイの木馬(RAT)のNetSupport RATとBurnsRATを配布することを目的としている。RAT配布は攻撃チェーン全体の中間に当たると評価され、NetSupportRATからRhadamanthysやMeduzaなどインフォスティーラーのペイロードがさらに配布されることも判明した。このキャンペーンは2023年3月から展開されており、これまで1,000人以上の被害者に影響を与えている。攻撃ではフィッシングメールを使い、有害なJavaScriptを含むZIPアーカイブを配信。このスクリプトファイルは顧客やパートナーを思わせる相手からのリクエストまたは入札を装っており、場合によってはなりすましの対象となる組織や個人に関連するさまざまなアーカイブドキュメントが追加される。研究者は高い確度で、このキャンペーンに脅威アクターTA569が関与していると評価している。

APT35が偽求人サイトを使い、航空宇宙・半導体企業を標的に

ThreatBook – November 29, 2024

ThreatBookの研究者により、偽の求人サイトや企業サイトを使ったAPT35のキャンペーンが確認された。米国やタイ、アラブ首長国連邦、イスラエルの航空宇宙および半導体企業が主な標的となっている。このキャンペーンは2023年9月から続いており、偽サイトが提供するアクセスプログラムを装って、本物のサンプルと有害なサンプルを配信することを目的にしている。標的を誘い込むため、これらのサイトでは同様のポジションの相場よりも大幅に高い給与を提示している場合が多い。さらにThreatBookの研究者は、半導体企業をターゲットにした偽サイトを1件特定した。このサイトではアクセス制限を利用し、被害者を騙して有害なペイロードを含むVPNプログラムをダウンロード・インストールさせていた。

TaxOffグループ、バックドアTrinperでロシアの政府機関を狙う

Positive Technologies – November 28, 2024

今年の第三四半期、Positive Technologiesの研究者は、ロシアの政府機関を標的とする新たな脅威アクターTaxOffを発見した。このグループは法務および財務関連のフィッシングメールを初期感染ベクターとして使用し、のちにC++ベースのバックドア「Trinper」を展開している。主な目的はスパイ活動と、さらなる攻撃を行うための足がかりを得ること。確認されたメールの1つにはYandex Diskへのリンクが添付されており、このほかにTrinperを起動するためのショートカット、Trinperそのもの、暗号化RARアーカイブを混合させてヘッダーを削除したもの、そしてフィッシングフォームが含まれていた。また攻撃者は、Trinperを配布するためにソフトウェアSpravki BKも使用している。このソフトウェアはかつて、バックドアKonniを拡散する目的でも使われていた。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up

【無料配布中レポート】

各種レポートを無料配布中!バナー画像よりダウンロード可能です。

地政学レポート

インテリジェンス要件定義に関するガイドブック

ディープ&ダークウェブレポート

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ