ウィークリー・サイバーラウンド・アップ
OceanLotus、有害なCobalt Strikeプラグインで中国のサイバーセキュリティ担当者を攻撃
ThreatBookの研究者はバックドアを仕込んだCobalt Strikeのエクスプロイト用プラグインに関する最近の報告について、東南アジアの高度持続的脅威グループ「OceanLotus」の関与が疑われると指摘した。このプラグインは2024年10月にGitHubで公開されたもので、中国のサイバーセキュリティ専門家を標的にしている。さらに研究者チームは、昨年9月中旬以降の攻撃で使用された同様のサンプルも特定した。攻撃者は検出を回避するため、不正なSUOファイルをVisual Studioプロジェクトに埋設。このVisual Studioプロジェクトをコンパイルするとトロイの木馬が自動的に実行される仕組みで、これはその後に上書きされて削除され、さらなる検出を逃れる。OceanLotusが常用するDLLホローイング手法はマルウェアの配信に、メモ作成プラットフォームNotionはC2通信に使われている。
RedCurl、カナダの組織を標的に新バックドア「RedLoader」を展開
高度持続的脅威グループ「RedCurl」の関与が疑われるスパイ活動の一環として、カナダの複数組織を標的としたキャンペーンをHuntressの研究者が観測した。遅くとも2023年11月に始まり、2024年後半まで続いたこのキャンペーンでは、基本的なバックドア機能を備えた新種のマルウェア「RedLoader」が展開されている。同グループはRedLoaderを難読化するために動的DLL解決、文字列暗号化、ジャンクC2アドレスを使っており、攻撃手法と感染チェーンも過去に報告されたケースと比べていくつか変更が確認された。これにはスケジュールされたタスクにPcaluaなどのLiving-Off-The-Landバイナリを使ってマルウェアとスクリプトを実行する点や、7zipによるデータ抽出のほか、Pythonスクリプトを介したリバースプロキシトンネルの設定にRPivotツールを活用することが含まれる。さらにRedCurlは攻撃を実行するため、PowerShellとPythonスクリプトに加えて各種バッチファイルを使用していることも観察されている。
カザフスタンを標的としたキャンペーン「Double-Tap」にUAC-0063が関連か
Sekoiaの研究者は進行中のサイバースパイ活動「UAC-0063」の一環として、カザフスタン外務省の正規Office文書が複数使用されていることを突き止めた。このキャンペーンはカザフスタンを含む中央アジア諸国を標的としたもので、同国とアジア・西欧諸国との外交/経済関係もターゲットにされている。同キャンペーンはHATVIBEおよびCHERRYSPYマルウェアを配信する新しい感染チェーン「Double-Tap」を伴う。この感染チェーンでは配信された文書内にこれまで知られていなかった有害なコードが含まれており、不正マクロでもう1つの有害文書を作成。この新たな文書は非表示のWordインスタンスで自動的に開かれ、HATVIBEが埋め込まれた有害なHTAファイルをドロップして実行する。観察された感染チェーンは、バックドアを投下するためにVBAスクリプトを使用するなど、以前報告されたZebrocyの感染チェーンと類似点が認められる。研究者はUAC-0063について、ロシアの脅威アクターAPT28に関連していると中程度の確度で評価している。
中東諸国を狙った不動産詐欺が急増
Group-IBの研究者は、オンラインプラットフォームを悪用した不動産詐欺が中東諸国で増加していることを確認した。主なターゲットにされているのは、海外駐在員や新たに移住する個人など特定のグループ。その手口は詐欺師がプラットフォーム上で適切な広告を探し、これをコピーして自身の名前で公開することからスタートする。この広告を見た被害者がプラットフォームのメッセンジャーまたはサードパーティのアプリケーション(最も多いのはWhatsApp)を介して連絡を取ると、詐欺師は信用を得るために偽の不動産契約書や賃貸契約書などを提示。騙された被害者はその後、賃貸登録プラットフォームのアカウントにリンクされた詐欺師の電子ウォレット、またはミュールアカウントへの直接送金を介し、架空物件の代金を支払ってしまう。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価