台湾狙った攻撃でSmokeLoaderが展開される | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 台湾狙った攻撃でSmokeLoaderが展開される

Threat Report

AndeLoader

APT

APT35

台湾狙った攻撃でSmokeLoaderが展開される

nosa

nosa

2024.12.06

ウィークリー・サイバーラウンド・アップ

SmokeLoaderを展開する攻撃が観測される 標的は台湾の複数部門(CVE-2017-0199、CVE-2017-11882)

Fortinet – December 2, 2024

Foritnetの研究者は2024年9月、台湾の複数企業にSmokeLoaderを配布するキャンペーンを観測した。標的にされたのは製造、医療、情報技術などの各部門で、初期感染ベクターにはネイティブの単語やフレーズを使うフィッシングメールを使用。これらのメールにSmokeLoaderを展開するMicrosoft Excelファイルが添付されており、CVE-2017-0199およびCVE-2017-11882を悪用してAndeLoaderをドロップする。SmokeLoaderはステージャーとメインモジュールで構成され、メインモジュールを復号・解凍してエクスプローラーの実行可能プロセスに挿入することがステージャーの主な目的になる。SmokeLoaderは複数のプラグインをダウンロードした結果生じる攻撃を自ら実行しており、各プラグインにはWebブラウザやMicrosoft Outlook、Mozilla Thunderbird、FileZilla、WinSCPからログイン認証情報およびFTP認証情報、メールアドレス、Cookieなどを盗む機能が備わっている。

Horns&Hoovesキャンペーン、ロシアの標的にNetSupport RATと BurnsRATを配信

SECURELIST – December 2, 2024

カスペルスキーの研究者が「Horns&Hooves」と呼ばれる新しいキャンペーンを特定した。このキャンペーンは主にロシアの個人ユーザーや小売業者、サービス企業を狙い、リモートアクセス型トロイの木馬(RAT)のNetSupport RATとBurnsRATを配布することを目的としている。RAT配布は攻撃チェーン全体の中間に当たると評価され、NetSupportRATからRhadamanthysやMeduzaなどインフォスティーラーのペイロードがさらに配布されることも判明した。このキャンペーンは2023年3月から展開されており、これまで1,000人以上の被害者に影響を与えている。攻撃ではフィッシングメールを使い、有害なJavaScriptを含むZIPアーカイブを配信。このスクリプトファイルは顧客やパートナーを思わせる相手からのリクエストまたは入札を装っており、場合によってはなりすましの対象となる組織や個人に関連するさまざまなアーカイブドキュメントが追加される。研究者は高い確度で、このキャンペーンに脅威アクターTA569が関与していると評価している。

APT35が偽求人サイトを使い、航空宇宙・半導体企業を標的に

ThreatBook – November 29, 2024

ThreatBookの研究者により、偽の求人サイトや企業サイトを使ったAPT35のキャンペーンが確認された。米国やタイ、アラブ首長国連邦、イスラエルの航空宇宙および半導体企業が主な標的となっている。このキャンペーンは2023年9月から続いており、偽サイトが提供するアクセスプログラムを装って、本物のサンプルと有害なサンプルを配信することを目的にしている。標的を誘い込むため、これらのサイトでは同様のポジションの相場よりも大幅に高い給与を提示している場合が多い。さらにThreatBookの研究者は、半導体企業をターゲットにした偽サイトを1件特定した。このサイトではアクセス制限を利用し、被害者を騙して有害なペイロードを含むVPNプログラムをダウンロード・インストールさせていた。

TaxOffグループ、バックドアTrinperでロシアの政府機関を狙う

Positive Technologies – November 28, 2024

今年の第三四半期、Positive Technologiesの研究者は、ロシアの政府機関を標的とする新たな脅威アクターTaxOffを発見した。このグループは法務および財務関連のフィッシングメールを初期感染ベクターとして使用し、のちにC++ベースのバックドア「Trinper」を展開している。主な目的はスパイ活動と、さらなる攻撃を行うための足がかりを得ること。確認されたメールの1つにはYandex Diskへのリンクが添付されており、このほかにTrinperを起動するためのショートカット、Trinperそのもの、暗号化RARアーカイブを混合させてヘッダーを削除したもの、そしてフィッシングフォームが含まれていた。また攻撃者は、Trinperを配布するためにソフトウェアSpravki BKも使用している。このソフトウェアはかつて、バックドアKonniを拡散する目的でも使われていた。


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド

ランサムウェアレポート:『2024 Ransomware? What Ransomware?』

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート2024 Ransomware? What Ransomware?の日本語訳バージョンを無料でダウンロードいただけます。

<レポートの主なトピック>

  • 主なプレーヤーと被害組織
  • データリークと被害者による身代金支払い
  • ハクティビストからランサムウェアアクターへ
  • 暗号化せずにデータを盗むアクターが増加
  • 初期アクセス獲得に脆弱性を悪用する事例が増加
  • 公に報告された情報、および被害者による情報開示のタイムライン
  • ランサムウェアのリークサイト – ダークウェブ上での犯行声明
  • 被害者による情報開示で使われる表現
  • ランサムウェアに対する法的措置が世界中で増加
  • サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
  • 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック要件主導型インテリジェンスプログラムの構築方法の日本語訳バージョンを無料でダウンロードいただけます。

<ガイドブックの主なトピック>

本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

  • 脅威プロファイルの確立
  • ステークホルダーの特定・分析
  • ユースケースの確立
  • 要件の定義と管理
  • データの収集と処理
  • 分析と生産
  • 報告
  • フィードバック
  • 実効性の評価

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ