中国のスパイ活動が疑われるキャンペーン、東南アジアの複数組織を標的に | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 中国のスパイ活動が疑われるキャンペーン、東南アジアの複数組織を標的に

Threat Report

Android

APT

BoneSpy

中国のスパイ活動が疑われるキャンペーン、東南アジアの複数組織を標的に

nosa

nosa

2024.12.20

ウィークリー・サイバーラウンド・アップ

中国のスパイ活動が疑われるキャンペーン、ターゲットは東南アジアの複数組織

Symantec – December 11, 2024

東南アジアの有名組織を標的とし、2023年10月から進行中のスパイ活動がSymantecの研究者によって観測された。攻撃者はインテリジェンス収集を目的に、オープンソースとLiving-Off-The-Land(環境寄生型)のツールを併用。2024年6月から8月にかけて、ある組織のネットワーク上のマシン4台を侵害した。この攻撃はレジストリを変更する有害なPowerShellコマンドから始まり、続いてImpacketベースのリモートアクセスツールを使って有害なコマンドを追加で実行するもの。キーロガーやパスワードプロテクター、さらにRakshasa、Stowaway、ReverseSSHといったリバースプロキシツールも使用して永続性を維持し、DLLサイドローディングでログイン認証情報を傍受する。このキャンペーンで使われた複数のツールは、Earth Bakuなど中国拠点の脅威アクター数組に関連付けられている。

Gamaredon、BoneSpyとPlainGnomeスパイウェアで旧ソ連諸国を標的に

Lookout – December 11, 2024

Lookoutの研究者により、それぞれ「BoneSpy」「PlainGnome」と名付けられた2種類のAndroidスパイウェアファミリーが特定された。どちらも旧ソ連諸国をターゲットにしており、被害者はロシア語圏に集中している。これらのスパイウェアはロシアの脅威アクターGamaredonとの関連が疑われるもので、SMSメッセージや通話履歴などの機微データを収集するよう設計。監視ペイロードのドロッパーとして機能するPlainGnomeに対し、BoneSpyはスタンドアロンアプリケーションとして展開されている。BoneSpyは2022年1月から10月にかけて継続的に開発された後、複数のサンプルで同じコードの構造とルアーのテーマを使い始めた形跡が認められた。このマルウェアは主に、トロイの木馬化された機能的なTelegramアプリケーション(「ベータ版」と呼ばれている)を介して配布される。一方、2024年に初めて確認されたPlainGnomeも、BoneSpyと同様のルアーを使って配布されている。

Earth Koshcheiの関与疑われる不正なRDP使ったキャンペーン、ターゲットは複数部門に及ぶ

Trend Micro – December 17, 2024

トレンドマイクロの研究者は今年10月、重要部門を標的として不正なリモートデスクトッププロトコル(RDP)を使用する大規模なキャンペーンを観測した。攻撃ではRDPリレーや不正なRDPサーバー、RDPの有害な設定ファイルが使われ、データ漏洩やマルウェアのインストールにつながる危険性がある。キャンペーンの準備は今年8月〜10月にかけて行われ、10月22日には政府、軍、シンクタンク、学術研究者、ウクライナの標的など200ものターゲットに対してスピアフィッシングメールが送信された。これらのメールは受信者にRDPの不正な設定ファイルを使わせるもので、このファイルを開くと被害者のシステムが国外のRDPサーバーに接続される。攻撃者はまた、検知を回避するために匿名化レイヤーを使用し、PyRDPなどのレッドチームツールを使用してスパイ活動やデータの抽出を行っていた。このキャンペーンは、中程度の確度でEarth Koshcheiグループによるものだと評価されている。

HubSpotを悪用するフィッシングキャンペーン、ヨーロッパの各組織が使うMicrosoft Azureアカウントを標的に

Unit 42 – December 18, 2024

パロアルトネットワークスUnit42の研究者は今年6月、ヨーロッパの自動車、化学薬品、複合材料を製造する会社の少なくとも2万のユーザーを標的にしているフィッシングキャンペーンを発見した。このキャンペーンではHubSpotを悪用し、認証情報を盗むページにターゲットをリダイレクトさせると共に、標的のクラウドインフラMicrosoft Azureを乗っ取ることを最終的な目的としている。同キャンペーンは9月の時点でも引き続き実施されていた。攻撃ではHubSpot Free Form Builderのリンクを複数含むフィッシングメールを介し、DocusignのPDFと思しきものを送付。これまで少なくとも17件の有効なFree Formsが確認されており、それぞれにMicrosoft Outlook Web Appのランディングページに似せたものが含まれていた。これらは攻撃者が制御するさまざまなドメインに被害者をリダイレクトさせる役割を果たす。なおHubSpotのインフラ自体は侵害されておらず、上記のリンクもこのインフラを使って送られてはいない。


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド

ランサムウェアレポート:『2024 Ransomware? What Ransomware?』

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート2024 Ransomware? What Ransomware?の日本語訳バージョンを無料でダウンロードいただけます。

<レポートの主なトピック>

  • 主なプレーヤーと被害組織
  • データリークと被害者による身代金支払い
  • ハクティビストからランサムウェアアクターへ
  • 暗号化せずにデータを盗むアクターが増加
  • 初期アクセス獲得に脆弱性を悪用する事例が増加
  • 公に報告された情報、および被害者による情報開示のタイムライン
  • ランサムウェアのリークサイト – ダークウェブ上での犯行声明
  • 被害者による情報開示で使われる表現
  • ランサムウェアに対する法的措置が世界中で増加
  • サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
  • 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック要件主導型インテリジェンスプログラムの構築方法の日本語訳バージョンを無料でダウンロードいただけます。

<ガイドブックの主なトピック>

本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

  • 脅威プロファイルの確立
  • ステークホルダーの特定・分析
  • ユースケースの確立
  • 要件の定義と管理
  • データの収集と処理
  • 分析と生産
  • 報告
  • フィードバック
  • 実効性の評価

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ