-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
2月22〜25日:サイバーセキュリティ関連ニュース
AsyncRATマルウェア、オープンソースツールNull-AMSIで検出を回避
Securityonline[.]info – February 23, 2025
オープンソースツールNull-AMSIを利用してWindowsのセキュリティ防御をバイパスし、AsyncRATマルウェアを展開する新たなマルウェアキャンペーンについてCybleのチーム(CRIL)が報告。このキャンペーンで使われる攻撃手法は、従来型のセキュリティツールを効果的に回避し、システムへの永続的なアクセスの確立を可能にするものだという。
攻撃の出発点となるのは、アニメ『NARUTO』の人気キャラクター(うちはサスケ等)をフィーチャーした壁紙を装うLNKファイル。騙されたユーザーが壁紙を開こうとこのファイルを実行すると、多段階の実行プロセスが開始する。まず難読化されたPowerShellスクリプトが実行され、このスクリプトによって外部のサーバーから第2段階のペイロードが取得される。このペイロードはその後、メモリ内でダイレクトに実行されるため、ディスク上に痕跡は残らない。
攻撃者は、Windows マルウェア対策スキャン インターフェイス(AMSI)およびEvent Tracing for Windows(ETW)をバイパスするため、GitHub上で公開されているツール「Null-AMSI」を使用。リフレクションとネイティブの.NET機能を採用することで、以下が可能になるという。
- メモリ内でAMSI保護を修正し、アンチウイルスソフトウェアによって悪意あるスクリプトがスキャンされるのを防ぐ
- ETWのロギングを無効化し、悪意ある活動を検知しにくくする
- AES暗号化とGZIPの圧縮を利用してペイロードを難読化し、静的な分析を難しくする
Null-AMSIによってAMSIとETWが無力化されると、リフレクションローディングの手法を使って最終ペイロードであるAsyncRATがメモリ内で実行されるという。このリモート型トロイの木馬には、以下のような性能が備わっている。
- キーストロークのロギングおよび認証情報の窃取
- リモートコマンド実行
- 機微なデータの抽出
- 追加のマルウェアのインストール
このキャンペーンのさらなる詳細やIoCなどについては、CRILのブログ記事で確認することができる。
トランプ大統領がマスク氏のつま先舐め回すAI映像、米連邦省の本庁舎内で突如ループ再生される
The Record – February 25th, 2025
2月24日月曜、米国住宅都市開発省(HUD)の本庁舎内にある複数のテレビ画面に、トランプ大統領がイーロン・マスク氏のつま先を舐める様子を映した映像が流れる事態が発生。ワシントン・ポスト紙の報道により明らかになった。
独立系ジャーナリストのMarisa Kabas氏が情報筋に話を聞いたところ、AI生成の画像を使って作成されたと思われるこの動画は、建物全体のテレビでおよそ5分間にわたってループ再生されたという。その後ソーシャルメディアなどでも拡散されたこの動画内では、トランプ大統領のような人物がマスク氏と想定される人物の裸足のつま先を舐め回す様子が、「Long Live the Real King」というキャプションと共に映し出されている。
This morning at Dept of Housing and Urban Development (HUD) HQ in DC as mandatory return to office began, this video played on loop for ~5 mins on screens throughout the building, per agency source.Building staff couldn’t figure out how to turn it off so sent people to every floor to unplug TVs.
— Marisa Kabas (@marisakabas.bsky.social) 2025-02-24T14:51:30.171Z
HUDのスタッフはテレビ画面をオフにすることができず、結局各テレビの電源ケーブルを引き抜くことで映像をストップさせたという。HUDの広報官もこのインシデントの発生を認めており、「納税者の納めたドルとリソースがまたもや無駄遣いされた」、「関わった者全員に対し、相応の措置が講じられることになる」などと述べた。
この映像を流したのがハッカーなのか、不満を抱える職員か、またはそれ以外の人物なのかは不明。ただ、米連邦政府の職員らは最近、マスク氏および同氏率いるDOGE(政府効率化省)の所業に抵抗を見せるようになっている。職員らが立ち上げたWebサイト「We the Builders」もその表れの1つで、ここでは、DOGEにより解雇された職員の体験談やマスク批判など、「連邦職員によるリアルなストーリー」とされるブログ記事などが掲載されている。こうした職員が今回の事案に関与している可能性も捨てきれないが、現時点で実行者が何者なのかはわかっていない模様。
