-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
2月18日:サイバーセキュリティ関連ニュース
新たなGoバックドア、C2オペレーションにTelegram Bot APIを使用
The Hacker News – Feb 17, 2025
TelegramをC2通信のメカニズムとして用いる新たなGoベースのバックドアマルウェアについて、Netskope Threat Labsの研究者が報告。このマルウェアはロシア語で書かれたメッセージを使用することから、ロシアで生まれた可能性があると考えられるという。
このバックドアマルウェアは実行されるとまず、自身が特定の場所で実行されているか、また「C:\Windows\Temp\svchost.exe」という名称を使っているかどうかを確かめる。これらの条件が揃っていない場合、自らのコンテンツを読み取り、上記の場所へ書き出して新たなプロセスを作り、コピー版を起動させて自身を終了させるという。
マルウェアのC2として使われるのがTelegramで、攻撃者は自らの制御するチャットからマルウェアへのコマンドを送信する。このマルウェアに特徴的なのが、コマンド受信などの目的でオープンソースのライブラリが利用されている点。このライブラリは、「Golang bindings for the Telegram Bot API」としてGitHub上で公開されている。
サポートされているコマンドは以下の4種類だが、現時点では3種類のみが実装されているという。なおNetskopeの研究者Leandro Fróes氏は、「このマルウェアはまだ開発途中であるものと見られるが、機能面には全く問題がない」と述べている。
- /cmd:PowerShell経由でコマンドを実行する
- /persist:「C:\Windows\Temp\svchost.exe」の下で自身をリロードする
- /screenshot:実装されていない。ただ、「Screenshot captured」というメッセージは送信される
- /selfdestruct:ファイル「C:\Windows\Temp\svchost.exe」を削除し、自らを終了させる
Fróes氏は、今回のTelegramのようにクラウドベースのアプリケーションが採用されると、「防御者には複雑な課題が提示されるし、攻撃者側もそのことをわかっている」と指摘。加えて、簡単に使い始めることができ、設定も容易であるといった点も、脅威アクターらが攻撃のさまざまなフェーズでこうしたアプリを活用する理由になっていると述べた。
ロシアの国家型ハッカーがデバイスコードフィッシングの手法で組織を標的に
SecurityWeek – February 17, 2025
ロシアとの結びつきが指摘される脅威アクターStorm-2372が、デバイスコードフィッシングと呼ばれる手法を使って世界的な攻撃キャンペーンを実施していると、マイクロソフトが報告。2024年8月後半から続いているこのキャンペーンでは、アフリカやヨーロッパ、中東、北米の政府、IT、防衛、電気通信、医療、教育、エネルギーの各セクターおよびNGOなどの組織が標的にされているという。
このキャンペーンでアカウント侵害に使われている手法が、デバイスコード認証を悪用するというもの。デバイスコード認証は、「ユーザーが Web ブラウザーまたはキーボードを持たないデバイス上のアプリケーションにサインインできるようにする 、Azure Active Directory (Azure AD) によって提供される認証フローの一種」であるとマイクロソフトのページで説明されている。デバイスコードフィッシングでは、攻撃者がまず対象サービスにデバイスコードを生成するよう要求し、当該コードを正規のサインインページに入力するようターゲットユーザーを誘導する。すると当該サービスがアクセストークンを生成するので、攻撃者はこれを復元して悪用することで、ターゲットのアカウントおよびデータにアクセスできるようになる。加えてこのトークンは、ユーザーによって許可されているEメールやクラウドストレージサービスなどへパスワードなしでアクセスすることをも可能にし、ラテラルムーブメントが実現されるという。
デバイスコードフィッシングを仕掛ける前段階では、攻撃者は著名人を装ってターゲットにメッセージを送信。WhatsApp、Signal、Microsoft Teamsといったメッセージングサービスでやり取りを行って信頼関係を築いたのち、Teamsを使ったオンラインイベントやオンライン会議への招待状をEメールで送付する。そしてこの招待状が、デバイスコード認証を完了させるようターゲットを誘導する仕組みになっている。ターゲットがこれに従ってコードを入力し、認証トークンを手にした攻撃者はその後、当該ターゲットのアカウントにアクセスするだけでなく、組織内の他ユーザーにまでデバイスコードフィッシングメッセージを追加送信することもあり得るという。
また、サイバーセキュリティ企業Volexityが報告したところによると、2025年1月以降の米国国務省やウクライナ国防省、欧州議会およびさまざまな研究機関を狙った攻撃においても、デバイスコードフィッシングの手法が使われていたとされる。Volexityはこの手法を用いるロシア関連の脅威アクターとして、Storm-2372とは別にCozyLarch(別称:APT29、Cozy Bear、Midnight Blizzard)、UTA0304、UTA0307の3組を挙げているが、上記の攻撃の実施者は単一のアクターである可能性もあるとしている。
【無料配布中!】インテリジェンス要件定義ガイド
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
