Lumma StealerとAmadey Botを利用したキャンペーン、製造業界を標的に | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Lumma StealerとAmadey Botを利用したキャンペーン、製造業界を標的に

Threat Report

Adobe

Adobe InDesign

Amadey Bot

Lumma StealerとAmadey Botを利用したキャンペーン、製造業界を標的に

Yoshida

Yoshida

2024.12.13

ウィークリー・サイバーラウンド・アップ

Lumma StealerとAmadey Botを利用したキャンペーン、製造業界を標的に

Cyble – December 5, 2024

Cybleの研究者が、ある多段階キャンペーンを発見した。このキャンペーンは、PDFに偽装したLNKファイルを使って製造業界を標的にしている。攻撃チェーンではDLLサイドローディングとIDATLoaderを使用し、Lumma StealerとAmadey Botを展開。これにより標的のマシンを制御し、機微な情報を抜き取ることが可能になる。初期感染ベクターは不明だが、PDF文書に見せかけたLNK形式のショートカットファイルへのリンクを受信者にクリックさせる、スピアフィッシングメールが攻撃の起点と思われる。LNKファイルが実行されると、SSHやPowerShell、mshtaなど侵害したシステムに備わったバイナリを複数起動するコマンドが開始され、セキュリティ対策を回避して、次段階のペイロード「Lumma」と「Amadey」がリモートで実行される。

RedLineスティーラーキャンペーン、海賊版ソフトでロシア企業を狙う

Security Affairs – December 08, 2024

カスペルスキーの研究者は、RedLineインフォスティーラーを使ったキャンペーンが進行中であることを確認した。このキャンペーンは今年1月から実施されており、企業向けの海賊版ソフトウェアを使用する複数のロシア企業を標的にしている。攻撃者はビジネスプロセスの自動化を図るユーザーを狙い、自己署名証明書付きのHPDxLIBアクティベーターの有害バージョンを配布する。RedLineスティーラーを含むこのアクティベーターは.NET Reactorで難読化され、中に潜む有害なコードは複数のレイヤーで圧縮/暗号化されていた。攻撃ではロシアにおける事業所有権や会計に特化した複数のフォーラムを介して同アクティベーターが配布されるが、ほとんどの場合、これを実行させるためにセキュリティソフトウェアを無効にする手順が掲載されている。その後、攻撃者はユーザーを騙してアクティベーターに含まれる有害なDLLライブラリと正規のDLLライブラリを入れ替えさせ、これが不正なライブラリをロードし、RedLineスティーラーを実行する。

IOCONTROLマルウェア、イスラエルと米国のIoTおよびOTデバイスを標的に

Claroty – December 10, 2024

イランの国家支援型脅威アクターがイスラエルと米国のIoT(モノのインターネット)およびOT(オペレーショナルテクノロジー)デバイスを狙って使用するカスタムビルドのIoT/OTマルウェア「IOCONTROL」について、Clarotyの研究者が詳述した。このマルウェアはIPカメラやルーター、PLC、HMI、ファイアウォールといったデバイスに影響を与えるもので、被害を受けたベンダーにはBaicells、D-Link、Hikvisionなどが含まれる。最近の攻撃では、イスラム革命防衛隊のサイバー部門に属するとされるCyber​​Av3ngersがこのマルウェアを使用した。同グループはある攻撃で燃料管理システムのOrpakとGasboyを主な標的とし、イスラエルと米国のガソリンスタンド約200か所を侵害している。

さまざまな業界のログイン認証情報を狙う世界規模のフィッシングキャンペーンが観測される

Group-IB – December 11, 2024

Group-IBの研究者は2024年7月以降、世界中の15管轄区域で30を超す企業および組織の従業員または関係者を狙った進行中のEメールフィッシングキャンペーンを観察した。標的となった業界には製造、政府部門、航空宇宙、金融、エネルギー、通信、ファッションが含まれ、ログイン認証情報の窃取を目的としたスキームの一環として200以上のフィッシングリンクが被害者に配布されている。このキャンペーンはAdobeやDocuSignなどドキュメント管理または電子署名に使われる正規プラットフォームを模倣したフィッシングリンクから始まり、これをクリックして表示されるドキュメントに署名するよう受信者に促す。埋め込まれたドキュメントはAdobe InDesignのサブドメインを使って送られた重要なPDFファイルに見えるものの、実際には被害者をフィッシングページにリダイレクトするリンクを含んでいる。


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド

ランサムウェアレポート:『2024 Ransomware? What Ransomware?』

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート2024 Ransomware? What Ransomware?の日本語訳バージョンを無料でダウンロードいただけます。

<レポートの主なトピック>

  • 主なプレーヤーと被害組織
  • データリークと被害者による身代金支払い
  • ハクティビストからランサムウェアアクターへ
  • 暗号化せずにデータを盗むアクターが増加
  • 初期アクセス獲得に脆弱性を悪用する事例が増加
  • 公に報告された情報、および被害者による情報開示のタイムライン
  • ランサムウェアのリークサイト – ダークウェブ上での犯行声明
  • 被害者による情報開示で使われる表現
  • ランサムウェアに対する法的措置が世界中で増加
  • サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
  • 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック要件主導型インテリジェンスプログラムの構築方法の日本語訳バージョンを無料でダウンロードいただけます。

<ガイドブックの主なトピック>

本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

  • 脅威プロファイルの確立
  • ステークホルダーの特定・分析
  • ユースケースの確立
  • 要件の定義と管理
  • データの収集と処理
  • 分析と生産
  • 報告
  • フィードバック
  • 実効性の評価

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ