ウィークリー・サイバーラウンド・アップ
Lumma StealerとAmadey Botを利用したキャンペーン、製造業界を標的に
Cybleの研究者が、ある多段階キャンペーンを発見した。このキャンペーンは、PDFに偽装したLNKファイルを使って製造業界を標的にしている。攻撃チェーンではDLLサイドローディングとIDATLoaderを使用し、Lumma StealerとAmadey Botを展開。これにより標的のマシンを制御し、機微な情報を抜き取ることが可能になる。初期感染ベクターは不明だが、PDF文書に見せかけたLNK形式のショートカットファイルへのリンクを受信者にクリックさせる、スピアフィッシングメールが攻撃の起点と思われる。LNKファイルが実行されると、SSHやPowerShell、mshtaなど侵害したシステムに備わったバイナリを複数起動するコマンドが開始され、セキュリティ対策を回避して、次段階のペイロード「Lumma」と「Amadey」がリモートで実行される。
RedLineスティーラーキャンペーン、海賊版ソフトでロシア企業を狙う
Security Affairs – December 08, 2024
カスペルスキーの研究者は、RedLineインフォスティーラーを使ったキャンペーンが進行中であることを確認した。このキャンペーンは今年1月から実施されており、企業向けの海賊版ソフトウェアを使用する複数のロシア企業を標的にしている。攻撃者はビジネスプロセスの自動化を図るユーザーを狙い、自己署名証明書付きのHPDxLIBアクティベーターの有害バージョンを配布する。RedLineスティーラーを含むこのアクティベーターは.NET Reactorで難読化され、中に潜む有害なコードは複数のレイヤーで圧縮/暗号化されていた。攻撃ではロシアにおける事業所有権や会計に特化した複数のフォーラムを介して同アクティベーターが配布されるが、ほとんどの場合、これを実行させるためにセキュリティソフトウェアを無効にする手順が掲載されている。その後、攻撃者はユーザーを騙してアクティベーターに含まれる有害なDLLライブラリと正規のDLLライブラリを入れ替えさせ、これが不正なライブラリをロードし、RedLineスティーラーを実行する。
IOCONTROLマルウェア、イスラエルと米国のIoTおよびOTデバイスを標的に
イランの国家支援型脅威アクターがイスラエルと米国のIoT(モノのインターネット)およびOT(オペレーショナルテクノロジー)デバイスを狙って使用するカスタムビルドのIoT/OTマルウェア「IOCONTROL」について、Clarotyの研究者が詳述した。このマルウェアはIPカメラやルーター、PLC、HMI、ファイアウォールといったデバイスに影響を与えるもので、被害を受けたベンダーにはBaicells、D-Link、Hikvisionなどが含まれる。最近の攻撃では、イスラム革命防衛隊のサイバー部門に属するとされるCyberAv3ngersがこのマルウェアを使用した。同グループはある攻撃で燃料管理システムのOrpakとGasboyを主な標的とし、イスラエルと米国のガソリンスタンド約200か所を侵害している。
さまざまな業界のログイン認証情報を狙う世界規模のフィッシングキャンペーンが観測される
Group-IBの研究者は2024年7月以降、世界中の15管轄区域で30を超す企業および組織の従業員または関係者を狙った進行中のEメールフィッシングキャンペーンを観察した。標的となった業界には製造、政府部門、航空宇宙、金融、エネルギー、通信、ファッションが含まれ、ログイン認証情報の窃取を目的としたスキームの一環として200以上のフィッシングリンクが被害者に配布されている。このキャンペーンはAdobeやDocuSignなどドキュメント管理または電子署名に使われる正規プラットフォームを模倣したフィッシングリンクから始まり、これをクリックして表示されるドキュメントに署名するよう受信者に促す。埋め込まれたドキュメントはAdobe InDesignのサブドメインを使って送られた重要なPDFファイルに見えるものの、実際には被害者をフィッシングページにリダイレクトするリンクを含んでいる。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価