-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ウィークリー・サイバーラウンド・アップ
Star Blizzardのスピアフィッシングキャンペーン、標的はWhatsAppアカウント
マイクロソフトの研究者は2024年11月中旬、ロシアの脅威アクターStar Blizzardが初期アクセスベクターの標的をWhatsAppアカウントに変更したことを確認した。このキャンペーンではまずスピアフィッシングメールを送信し、ウクライナのNGO支援を目的とする非政府イニシアチブのWhatsAppグループへの参加を要請。このメールは米国政府関係者を装ったもので、壊れたQRコードを敢えて記載することで受信者が送信元へ問い合わせるよう仕向ける。するとSafe Linksでラップされた短縮リンクを含む2番目のメールが送られ、グループ参加に使うとされる別のQRコードが記されたWebページへ被害者を誘導。このQRコードをスキャンするとStar Blizzardが被害者のWhatsAppアカウントに接続できるようになり、アカウント内のメッセージにアクセスした上で、ブラウザプラグインを使ってデータを盗み出す。
FortiGate構成情報のリークに対する関心を悪用し、研究者を標的にLuaマルウェア「SmartLoader」が配布される
Chris Partridge – January 19, 2025
セキュリティ研究者のChris Partridge氏は、Belsen GroupによってFortinet FortiGateの構成情報がリークされたニュースへの関心を悪用し、マルウェアを配布している脅威アクターの存在について警告した。新たに作成されたGitHubリポジトリ「Fortigate Belsen Leak Tracker」には、リークの影響を受けるIPがすべて記載されていると思わせるZIPファイルへのリンクが含まれている。しかし実際には、このファイルがLummaなどインフォスティーラーのインストールによく使われるLuaマルウェア「SmartLoader」を配布する。
新たなマルチステージローダーPNGPlugを使い、中国語圏の複数組織にValleyRATが拡散
香港、台湾、中国を含む中国語圏の複数組織に対する一連の攻撃をIntezerの研究者が特定した。このキャンペーンでは、新しいマルチステージローダー「PNGPlug」を使ってValleyRATが配布されている。攻撃は主にフィッシングサイトから始まり、正規のソフトウェアを装った有害なMSIパッケージをダウンロードするよう被害者を誘導。実行すると無害なアプリケーションが展開され、DLLローダーと有害なPNG画像ファイルを含む暗号化されたアーカイブが抽出される。このPNGファイルにはPEファイルが含まれており、これが読み込まれ、新たに作成されたプロセスに挿入されるとValleyRATが実行される。
偽のAnyDesk接続リクエストを使い、脅威アクターがCERT-UAになりすます
The Hacker News – January 21, 2025
ウクライナのコンピューター緊急対応チームCERT-UAは、未知の脅威アクターが偽のAnyDesk接続リクエストを送信し、同機関になりすます試みを続けていると警告した。このリクエストはセキュリティ監査の実施を装ったもので、ユーザーの信頼を悪用するソーシャルエンジニアリングの手法が使われている。この攻撃を成功させるには、ターゲットのコンピューターにAnyDeskがインストールされ、動作していることのほか、攻撃者がそのAnyDeskの識別子を入手している必要がある。
PlushDaemon、トロイの木馬化されたIPanyのVPNでSlowStepperバックドアを配布
韓国のVPNプロバイダーIPanyを標的に、2023年と2024年に実施されたサプライチェーン攻撃をESETの研究者が特定した。この攻撃は中国系APT(高度持続的脅威)PlushDaemonによるものとみられ、同グループがIPanyの正規インストーラーをSlowStepperバックドアを含むインストーラーに置き換えた。この新しいカスタムバックドアは、少なくとも30個のモジュールで構成されている。PlushDaemonは遅くとも2019年から活動しており、中国や台湾、香港、韓国、米国、ニュージーランドのユーザーに対するスパイ活動を行っている。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
