-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ウィークリー・サイバーラウンド・アップ
スパイ活動キャンペーンOperation FishMedley、I-SOON関連のFishMonger APTが背後に存在
ESETの研究者により、2022年のスパイ活動キャンペーンOperation FishMedleyの詳細が報告された。APT(高度持続的脅威)アクターFishMongerの関与が特定されたこのキャンペーンは、台湾、ハンガリー、トルコ、タイ、フランス、米国の政府、宗教、NGO部門の少なくとも7組織を標的としていたことが判明。初期侵入ベクターについては不明だが、ドメイン管理者の認証情報などローカルネットワーク内の特権アクセスを取得したものと思われる。観察されたいくつかのケースでは、有害なインプラントの配布や侵害ネットワーク内でのラテラルムーブメントにImpacketが使用されていた。FishMonger APTはI-SOONの運用部門と考えられるグループで、Winnti Groupの傘下にあり、I-SOONのオフィスがある中国の成都に拠点を置いている可能性が高い。
APT36の関与が疑われるキャンペーン、インド郵便局の偽サイトでインド人を標的に
WindowsとAndroidのユーザーをそれぞれターゲットとする、インド郵便局を装ったフィッシングページをCYFIRMAの研究者が発見した。偽サイトにアクセスしたWindowsユーザーはクリップボードへのアクセス許可を求められ、PowerShell実行につながるClickFixの手順が記されたPDFをダウンロードするよう仕向けられる。一方、Androidユーザーは有害アプリをダウンロードするよう促され、広範な権限を要求するこのアプリが偽のGoogle Analyticsドメインを介してデータを盗み出す。また、同アプリはアイコンをGoogleアカウントのものに変え、アクティビティを隠すと共にアンインストールを防ぐだけでなく、カジノアプリを宣伝。カジノをプレイし始めたユーザーに対し、続行するにはウォレットへの入金が必要と称して銀行カードの詳細を入力させようとする。このキャンペーンにはパキスタンの脅威アクターAPT36が関与していると、中程度の確度で評価されている。
Semrushを装ったGoogle広告フィッシングキャンペーン、Googleのログイン認証情報の窃取が目的
Malwarebytesの研究者は、脅威アクターがGoogle広告を活用して偽のSemrushログインポータルを表示していることを確認した。このキャンペーンの目的はGoogleアカウントのログイン認証情報を盗むことで、SemrushのフィッシングページにはGoogleアカウントを使用してログインするオプションが表示されているが、Eメールとパスワードでログインするオプションは無効化されている。それぞれの広告には固有のドメイン名が使用され、被害者はそこから不正なSemrushのページとGoogleアカウントのログインページ専用の静的ドメインにリダイレクトされる。研究者は、GoogleアナリティクスやGoogleサーチコンソールのデータがSemrushのようなツールに統合されていることが多いと指摘した上で、ログイン認証情報の窃取によって機微情報が漏洩し、個人や企業のなりすましに悪用される可能性が高まると警告した。
偽求人スキームがポーランドの開発者をターゲットにFogDoorバックドアを展開
Cybleの研究者により、ソーシャルエンジニアリングを利用してバックドア「FogDoor」を展開する偽求人キャンペーンが特定された。標的はポーランド語を話す求職中の開発者で、このバックドアは「FizzBuzz」と呼ばれるコーディング実技試験に偽装されており、被害者をだまして一見無害なJavaScriptの演習問題と悪意あるLNKショートカットを含むISOファイルをダウンロードさせる。このキャンペーンは偽求人スキームの枠を超えて拡大しており、新たに発見されたGitHubレポジトリではインボイスをテーマにしたLNKショートカットが配布されている。実行ファイルはまず被害者の所在地を特定し、実際にポーランド国内にいる場合にのみFogDoorを実行。続いてFogDoorがソーシャルメディアのプロファイルに埋め込まれた命令を取得してリモートコードを実行し、ブラウザのCookieやWiFiの認証情報、システムデータを盗み出す。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
