-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ウィークリー・サイバーラウンド・アップ
マイクロソフトのADFSに偽装し、認証情報の収集とアカウント乗っ取りを行うフィッシングキャンペーン
Abnormal Security – February 4, 2025
マイクロソフトのActive Directoryフェデレーションサービス(ADFS)のユーザーを標的とする、進行中のフィッシングキャンペーンをAbnormal Securityの研究者が特定した。攻撃者はADFSの偽ログインページで認証情報を集めて多要素認証(MFA)を回避し、アカウント乗っ取りや重要なシステムまたはデータへのアクセスを行っている。攻撃チェーンは標的組織のITヘルプデスクが送信者であるかのように見せかけた偽メールでスタートし、ADFSの偽ログインページに誘導してユーザー名やパスワード、MFAコードを収集。フィッシングページは標的組織の特定のMFA設定に合わせてカスタマイズされ、外観を正規のものに近づけているほか、以前侵害されたアカウントを利用したラテラルフィッシングも確認された。このキャンペーンはこれまで150以上の組織を標的にしており、その大部分が教育部門で、医療と政府機関がこれに続く。
複数の有力Xアカウントが乗っ取られ、暗号資産詐欺をプロモート
SentinelLabs – January 31, 2025
暗号資産詐欺を宣伝するために有力なソーシャルメディアアカウントを乗っ取り、悪用しようとする進行中のフィッシングキャンペーンについて、SentinelLabsの研究者が報告。このキャンペーンは2024年半ばから行われており、Xやその他のソーシャルメディアプラットフォーム上で、米国の政治家や国際的なジャーナリスト、暗号資産/テクノロジー組織に関連するアカウントを標的としている。これに関与する脅威アクターらは最近、Googleの「AMP Cache」ドメインを悪用し始めており、これを利用してEメール検出を回避し、ユーザーを認証情報採取サイトにリダイレクトすることを目指している。攻撃者は狙ったアカウントを乗っ取ると、暗号関連の詐欺的なコンテンツを投稿し始め、金銭を騙し取るためにさらなる被害者を釣り上げようとする。
有害なPyPIパッケージがDeepSeekユーザーを標的に
Positive Technologies – 3 FEBRUARY 2025
Positive Technologiesの研究者は、PyPIパッケージリポジトリにおいて、DeepSeekを自身のシステムに組み込むことに関心を持ち得る開発者や機械学習エンジニア、人工知能愛好家を標的とした悪意のあるキャンペーンを検出し、阻止した。2025年1月29日、「bvk」と名乗るユーザーが、ユーザーやコンピューターのデータを収集したり、環境変数を盗み出したりするために作られた有害パッケージ「deepseeek」および「deepseekai」をアップロードした。このペイロードは、ユーザーがコマンドラインインターフェースで「deepseeek」または「deepseekai」というコマンドを走らせると実行される。同有害パッケージの作者は、盗まれたデータを受け取るC2サーバーとしてAI統合プラットフォーム「Pipedream」を使用していた。
法的手続きを装うフィッシングメールで中南米の複数組織にSapphireRATを配信
法的手続きに関する通知を悪用し、多層的な手法でSapphireRATを配布・実行する新たなフィッシングキャンペーンがCofenseの研究者によって発見された。主なターゲットは中南米の組織で、貴重なデータや重要インフラを持つ業界が狙われている。この攻撃はメールのフィルタリングやアンチウイルスといった従来のセキュリティ対策を回避することができ、メールにはJuzgado Segundo Civil Municipal de Bogotá(ボゴタ市第2民事裁判書)が未払いの債務に関する法的手続きを開始した旨と、添付文書の確認・署名を指示する文面が記されている。この文書を開くと、被害者はRARアーカイブを介してSapphireRATのインストールにつながるWebページへリダイレクトされる。
GreenSpot APTが有害なダウンロードページと偽装ドメインで163[.]comユーザーを標的に
Hunt[.]ioの研究者により、高度持続的脅威(APT)グループGreenSpotの関与が疑われるキャンペーンが観測された。ダウンロードページと偽装ドメインを使うこのキャンペーンは163[.]comのユーザーを標的とし、ドメインの1つには有害なログインページがホストされ、他のドメインにはユーザー名とパスワードの窃取を目的とした偽のダウンロードページが含まれていた。ユーザーが有害なログインページで認証情報を入力すると、実行されたJavaScriptコードがURLのドメインに基づくリダイレクトリンクを動的に構築。続いて「404ページ」が表示された後、ユーザーはEメールの正規ログインページへリダイレクトされる。さらに研究者は、複数のWebページが使われていることも特定した。これらのページはフィッシングメールを介して配布されたと思われるもので、アクセスするとカウントダウンが開始され、認証情報を入力してドキュメントをダウンロードするよう被害者に圧力をかける。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
地政学レポート
インテリジェンス要件定義に関するガイドブック
ディープ&ダークウェブレポート
とは?.jpg)
