マイクロソフトのADFSに偽装し、認証情報の収集目論むフィッシングキャンペーン

ウィークリー・サイバーラウンド・アップ

マイクロソフトのADFSに偽装し、認証情報の収集とアカウント乗っ取りを行うフィッシングキャンペーン

Abnormal Security – February 4, 2025 

マイクロソフトのActive Directoryフェデレーションサービス（ADFS）のユーザーを標的とする、進行中のフィッシングキャンペーンをAb​​normal Securityの研究者が特定した。攻撃者はADFSの偽ログインページで認証情報を集めて多要素認証（MFA）を回避し、アカウント乗っ取りや重要なシステムまたはデータへのアクセスを行っている。攻撃チェーンは標的組織のITヘルプデスクが送信者であるかのように見せかけた偽メールでスタートし、ADFSの偽ログインページに誘導してユーザー名やパスワード、MFAコードを収集。フィッシングページは標的組織の特定のMFA設定に合わせてカスタマイズされ、外観を正規のものに近づけているほか、以前侵害されたアカウントを利用したラテラルフィッシングも確認された。このキャンペーンはこれまで150以上の組織を標的にしており、その大部分が教育部門で、医療と政府機関がこれに続く。

複数の有力Xアカウントが乗っ取られ、暗号資産詐欺をプロモート

SentinelLabs – January 31, 2025

暗号資産詐欺を宣伝するために有力なソーシャルメディアアカウントを乗っ取り、悪用しようとする進行中のフィッシングキャンペーンについて、SentinelLabsの研究者が報告。このキャンペーンは2024年半ばから行われており、Xやその他のソーシャルメディアプラットフォーム上で、米国の政治家や国際的なジャーナリスト、暗号資産/テクノロジー組織に関連するアカウントを標的としている。これに関与する脅威アクターらは最近、Googleの「AMP Cache」ドメインを悪用し始めており、これを利用してEメール検出を回避し、ユーザーを認証情報採取サイトにリダイレクトすることを目指している。攻撃者は狙ったアカウントを乗っ取ると、暗号関連の詐欺的なコンテンツを投稿し始め、金銭を騙し取るためにさらなる被害者を釣り上げようとする。

有害なPyPIパッケージがDeepSeekユーザーを標的に

Positive Technologies – 3 FEBRUARY 2025

Positive Technologiesの研究者は、PyPIパッケージリポジトリにおいて、DeepSeekを自身のシステムに組み込むことに関心を持ち得る開発者や機械学習エンジニア、人工知能愛好家を標的とした悪意のあるキャンペーンを検出し、阻止した。2025年1月29日、「bvk」と名乗るユーザーが、ユーザーやコンピューターのデータを収集したり、環境変数を盗み出したりするために作られた有害パッケージ「deepseeek」および「deepseekai」をアップロードした。このペイロードは、ユーザーがコマンドラインインターフェースで「deepseeek」または「deepseekai」というコマンドを走らせると実行される。同有害パッケージの作者は、盗まれたデータを受け取るC2サーバーとしてAI統合プラットフォーム「Pipedream」を使用していた。

法的手続きを装うフィッシングメールで中南米の複数組織にSapphireRATを配信

Cofense – January 28, 2025

法的手続きに関する通知を悪用し、多層的な手法でSapphireRATを配布・実行する新たなフィッシングキャンペーンがCofenseの研究者によって発見された。主なターゲットは中南米の組織で、貴重なデータや重要インフラを持つ業界が狙われている。この攻撃はメールのフィルタリングやアンチウイルスといった従来のセキュリティ対策を回避することができ、メールにはJuzgado Segundo Civil Municipal de Bogotá（ボゴタ市第2民事裁判書）が未払いの債務に関する法的手続きを開始した旨と、添付文書の確認・署名を指示する文面が記されている。この文書を開くと、被害者はRARアーカイブを介してSapphireRATのインストールにつながるWebページへリダイレクトされる。

GreenSpot APTが有害なダウンロードページと偽装ドメインで163[.]comユーザーを標的に

Hunt[.]io – February 4, 2025

Hunt[.]ioの研究者により、高度持続的脅威（APT）グループGreenSpotの関与が疑われるキャンペーンが観測された。ダウンロードページと偽装ドメインを使うこのキャンペーンは163[.]comのユーザーを標的とし、ドメインの1つには有害なログインページがホストされ、他のドメインにはユーザー名とパスワードの窃取を目的とした偽のダウンロードページが含まれていた。ユーザーが有害なログインページで認証情報を入力すると、実行されたJavaScriptコードがURLのドメインに基づくリダイレクトリンクを動的に構築。続いて「404ページ」が表示された後、ユーザーはEメールの正規ログインページへリダイレクトされる。さらに研究者は、複数のWebページが使われていることも特定した。これらのページはフィッシングメールを介して配布されたと思われるもので、アクセスするとカウントダウンが開始され、認証情報を入力してドキュメントをダウンロードするよう被害者に圧力をかける。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界

【無料配布中！】ランサムウェアレポート＆インテリジェンス要件定義ガイド

ランサムウェアレポート：『2024 Ransomware? What Ransomware?』

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

• 主なプレーヤーと被害組織
• データリークと被害者による身代金支払い
• ハクティビストからランサムウェアアクターへ
• 暗号化せずにデータを盗むアクターが増加
• 初期アクセス獲得に脆弱性を悪用する事例が増加
• 公に報告された情報、および被害者による情報開示のタイムライン
• ランサムウェアのリークサイト – ダークウェブ上での犯行声明
• 被害者による情報開示で使われる表現
• ランサムウェアに対する法的措置が世界中で増加
• サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
• 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件（PIR）を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。

＜ガイドブックの主なトピック＞

本ガイドブックでは、優先的インテリジェンス要件（PIR）の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

• 脅威プロファイルの確立
• ステークホルダーの特定・分析
• ユースケースの確立
• 要件の定義と管理
• データの収集と処理
• 分析と生産
• 報告
• フィードバック
• 実効性の評価