-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ウィークリー・サイバーラウンド・アップ
Gamaredonがウクライナのユーザーを狙い、戦争関連のルアーでRemcosバックドアを拡散
Gamaredonの関与が疑われるキャンペーンをCisco Talosの研究者が発見した。ウクライナのユーザーをターゲットにしたこのキャンペーンは遅くとも2024年11月から続いており、有害なLNKファイルを使って最終的にRemcosバックドアを配布している。このLNKファイルはZIPアーカイブ内に圧縮され、Officeドキュメントに見せかけていることが多く、被害者の関心を引くためにロシア語でウクライナ軍の移動に関する名称が付けられていた。ファイルの正確な配布手法は不明だが、フィッシングメールにZIPファイルを添付する、あるいはリモートホストからファイルをダウンロードさせるためにURLリンクを記す手法をGamaredonが依然として使用しているものと、研究者は考えている。また、前述のLNKファイルにはZIP形式で保存された次の段階のペイロードをダウンロード・実行するPowerShellコードに加え、おとりのファイルが含まれている。このZIP形式のペイロードにはDLLサイドローディングで有害なDLLをロードする実行可能バイナリが含まれ、これがRemcosのローダーとして機能する。
RolandSkimmerキャンペーン、有害なブラウザ拡張機能を使って金融データを窃取
RolandSkimmerと呼ばれるクレジットカードスキミングキャンペーンをFortinetの研究者が観測した。このキャンペーンはブルガリアの個人をターゲットにしたもので、Google Chrome、Microsoft Edge、Firefoxの不正なブラウザ拡張機能を使い、ユーザーから機微性の高い金銭関連データを収集・窃取する。攻撃は偽のLNKファイルを含む有害なZIPファイルから始まり、難読化されたVBScriptを展開して永続的かつ秘匿なアクセスを確立。続いてターゲットのブラウザに応じて追加ファイルがダウンロードされ、このファイルに不正なJavaScriptペイロードのほか、有害なブラウザ拡張機能のインストールに使われるエンコードされたRARファイルが含まれている。さらに攻撃者は、デスクトップとタスクバーにあるMicrosoft Edgeの正規ショートカットも有害なものに置き換えた。
バンキング型トロイの木馬Grandoreiroを配布する複数のフィッシングキャンペーンが観測される 標的はラ米とヨーロッパ
Forcepointの研究者により、バンキング型トロイの木馬Grandoreiroの活動が再び活発化していることが観測された。このマルウェアは現在、ラテンアメリカとヨーロッパの銀行ユーザーを狙った大規模なフィッシングキャンペーンで配布されている。攻撃者はVPSホスティングプロバイダーと難読化技術を使って検出を回避し、動的URLとソーシャルエンジニアリングを駆使してマルウェアの到達範囲と有効性を最大化。メキシコ、アルゼンチン、スペインをターゲットにした最近のキャンペーンでは税務機関に扮し、偽の政府メールを使ってユーザーを騙している。重要度が「高」に設定されたこれらのEメールには有害なURLが含まれ、ユーザーをContaboホスティングサービスのWebサイトへ誘導。そこで被害者にPDFのダウンロードを要求し、あるZIPファイルをダウンロードさせる。このZIPファイルを通じて難読化されたVBScriptとEXEペイロードが送り込まれ、同ペイロードの実行中に、認証情報を盗むために設計された偽のAcrobat Readerエラーポップアップが表示される。
EmmenhtalからSmokeLoaderに連鎖感染 第一ウクライナ国際銀行の顧客が標的に
G DATAの研究者は、第一ウクライナ国際銀行を装って顧客にEmmenhtalマルウェアローダーを配布するキャンペーンを発見した。このマルウェアからSmokeLoaderへ感染が連鎖することが確認されており、攻撃者はこの併用によってSmokeLoaderのモジュール機能を使用して追加のマルウェアを動的に展開できる。この攻撃は、支払いが行われたことを確認したという内容のEメールによって始まる。Eメールには支払い手順らしき7zアーカイブファイルが添付されていて、このファイルを解凍すると偽装用のPDFファイルと、PDFのショートカットが表示される。ショートカットは、リモートサーバーからファイルをダウンロードするために使われ、このファイルがPowerShell経由でmshtaを実行し、Emmenhtalをダウンロードする。Emmenhtalは後にSmokeLoaderを展開するために使用される。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
地政学レポート
インテリジェンス要件定義に関するガイドブック
ディープ&ダークウェブレポート
とは?.jpg)
