ウィークリー・サイバーラウンド・アップ
CrowdStrikeの偽採用アプリでXMRigをインストールさせるキャンペーンが確認される
CrowdStrikeの研究者は2025年1月7日、同社の採用ブランディングを悪用して偽の従業員CRMアプリをダウンロードさせるフィッシングキャンペーンを発見した。このアプリはクリプトマイニング型マルウェア「XMRig」のダウンローダーとして機能しており、フィッシングメールには採用プロセスの一環であることを思わせる文章が記されているほか、WindowsとmacOS向けのダウンロードオプションを提供する有害サイトへのリンクが含まれている。このリンクはどちらを選んだとしても、XMRigのダウンローダーとして機能するRustのWindows実行ファイルがダウンロードされる仕組みになっている。この実行ファイルはインストールプロセス中のエラー発生を伝えるメッセージを表示し、その後にテキストファイルをダウンロードすると、このテキストファイルを使ってXMRigのコピーを含むZIPファイルをGitHubからダウンロードする。
モサドのインテリジェンスレポート装う文書がXWormを配布 中東のユーザーが標的に
イスラエル諜報特務庁(モサド)から流出したインテリジェンスレポートに見せかけ、中東のユーザーを標的にする進行中のキャンペーンについてBroadcomの研究者が詳述した。このドキュメントの目的は、リモートデスクトップアクセスやキーロギング、持続性の確立、データの抽出を行う機能を持つリモートアクセス型トロイの木馬「XWorm」を配布すること。盗まれた情報は、指定のBotTokenやChatIDを使ってTelegramボットに送信される。感染チェーンの起点は、正規の文書を装ったJavaScriptファイルとバッチファイルを含むRARアーカイブで、これを実行すると、さらなる活動に使うPowerShellを起動する有害なJPGを取得する。また、検知を避ける目的で正規プロセスをいくつか終了し、持続性を維持するために現在のユーザーのレジストリエントリも改ざんする。
偽WordPressプラグイン「PhishWP」、個人情報や金銭関連情報の窃取に利用される
SlashNextの研究者は、正規サイトをフィッシングページに変える有害なWordPressプラグインについて警告した。「PhishWP」と呼ばれるこのプラグインはStripeなど信用性のあるサービスを装った偽の決済ページを作成するもので、偽ページはクレジットカード番号や個人情報、ブラウザのメタデータといった機微情報を盗むために使用される。攻撃は信頼されたWordPressサイトに侵入するか、偽サイトを作成することから始まる。またフィッシングキャンペーンの効果を高めるため、PhishWPはカスタマイズ可能なチェックアウトページを使う、あるいは3DSコードの収集やブラウザのプロファイリングを行うほか、自動応答メールと多言語サポート、難読化技術を使用する。
米社会保障局に扮したフィッシングキャンペーンでConnectWise RATが配布される
Cofenseの研究者により、米国社会保障庁を装ってリモートアクセスツール(RAT)「ConnectWise」を配布するフィッシングキャンペーンが観測された。このキャンペーンは2024年9月16日に初めて確認されたが、その後にEメールをさらに進化させ、より巧妙なメールスプーフィング手法や回避戦術、クレデンシャルフィッシングの試みを特徴とするようになっている。このキャンペーンがピークに達したのは同年11月11日および12日で、米国大統領選挙の1週間後だった。EメールにはConnectWise RATのペイロードへ1回だけリダイレクトするリンクが埋め込まれており、このリンクにその後アクセスしても社会保障庁の正規サイトへリダイレクトするようになっている。RATがインストールされた後、被害者はクレデンシャルフィッシング用のフォームに入力するよう指示されるため、脅威アクターは個人情報や金銭関連情報を盗むだけでなく、多要素認証チェックのバイパスや偵察もできるようになる。
中東の銀行顧客が返金詐欺の標的に
政府関係者に扮して中東諸国の銀行顧客を狙い、リモートアクセスソフトウェアを使ってクレジットカード情報とワンタイムパスワード(OTP)コードを盗む詐欺行為がGroup-IBの研究者によって確認された。被害者の多くは政府ポータル経由で苦情を寄せ、返金を要求する個人で、リモートアクセスソフトウェアのインストールに先立って情報窃取プログラムに感染させられている。攻撃者は政府関係者になりすまし、苦情の解決を装って被害者に連絡。苦情解決用の公式アプリとリモートアクセスアプリをインストールさせると、リモートアクセスコードの共有に加え、公式アプリにクレジットカードの写真をアップロードするよう要求することで、被害者の画面を確認してクレジットカードの詳細を盗み出す。画面に表示されたテキスト通知はOTPも含めて傍受され、不正利用に使用されている。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価