-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ウィークリー・サイバーラウンド・アップ
PoisonSeedキャンペーンが観測される 暗号資産関連企業やCRM・メール配信プロバイダーが標的に
Troy Hunt氏のMailchimpアカウントが狙われた先日のインシデントと、Coinbaseをルアーに用いる暗号資産シードフレーズポイズニングキャンペーンとの関連性がSilent Pushの研究者によって確認された。このキャンペーンはPoisonSeedと呼ばれ、暗号資産関連企業や顧客関係管理(CRM)および一括メール配信サービスのプロバイダーを標的としたフィッシング戦術とサプライチェーンスパム攻撃で構成されている。攻撃者はCRMまたは一括メール配信サービスに見せかけたフィッシングページを用意し、被害者にメールを送信。メールプロバイダーの認証情報の取得に成功すると、メールリストの一括ダウンロードプロセスを自動化し、パスワードがリセットされた場合に備えて永続性を確保するための新しいAPIキーを作成する。このキャンペーンで使われている戦術はScattered SpiderやCryptoChameleonのものと重複しているが、同様の戦術とインフラを用いた別の脅威アクターが実行している可能性も残されている。
UNC5837のRogue RDPキャンペーン、ヨーロッパ政府機関を狙ってスパイ活動とデータ窃取を展開
Googleの研究者チームは2024年10月、署名付きリモートデスクトッププロトコル(RDP)ファイルを添付したEメールを使い、ヨーロッパの政府機関や軍事組織を標的とする新たなフィッシング攻撃を観測した。この攻撃の主な目的はスパイ活動とみられ、攻撃者は被害者のドライブの読み取り、ファイルの窃取、クリップボードデータのキャプチャ、環境変数の取得が可能だったと考えられる。インタラクティブセッションを重視する一般的なRDP攻撃とは異なり、この攻撃ではリソースをリダイレクトする方法とRemoteAppが活用されていた。フィッシングメールにはAmazon、マイクロソフト、ウクライナ国家特殊通信情報保護局との共同プロジェクトの一環である旨が記されている。また、添付ファイルを実行すると被害者のマシンへのRDP接続が開始され、読み取りと書き込みのアクセスが可能になる一方で、RemoteApp機能を使ってリモートサーバーでホストされているアプリケーションの有害な機能を隠蔽していた。なお、裏付けは取れていないがRDPプロキシツールPyRDPも使われていた可能性がある。
楽天証券装うフィッシング詐欺キャンペーン、投資詐欺に戦術を転換
Broadcomの研究者は楽天証券のユーザーを狙った進行中のキャンペーンについて、そのソーシャルエンジニアリング戦術が投資詐欺を伴うものに変わっていると警告した。同キャンペーンではこれまで、楽天証券からの正式なセキュリティ通知を装ったフィッシングメールが使われてきたが、現在はLINEを通じて無料の投資アドバイスを行うと称した偽メールを使用している。これらのEメールはユーザーの経済的な不安につけ込むもので、投資だけでなく「投資コミュニティ」とされるものへの参加を呼びかける。また、Eメールに記されたリンクをクリックすると別のWebページが開き、プレゼントや退職後の資産形成に関する無料セミナーへの参加と引き換えにLINEアカウントを追加するよう促す。このWebサイトにはNISAの活用、銘柄選定、早期退職の実現に関するアドバイスの提供に加え、楽天のCEOがLINEを通じてこのキャンペーンを宣伝しているかのような記述も見られる。
Sapphire Werewolfが最新版のAmethyst Stealerでエネルギー企業を標的に
脅威アクターSapphire WerewolfがオープンソースマルウェアAmethyst Stealerの最新版を使用し、エネルギー企業を攻撃していることをBI[.]ZONEの研究者が確認した。最新版のAmethyst Stealerは仮想環境かどうかを判別する高度なチェック機能を備え、文字列の暗号化にはトリプルDESアルゴリズムを採用している。確認されたキャンペーンではマルウェアがフィッシングメールを介して配信され、人事担当者からの公式メモを装った添付ファイルに格納されていた。このメモには偽PDFアイコンの実行ファイルが含まれ、これが.NET Reactorに保護されたAmethyst Stealerを配布する。
カナダの次期連邦議会選挙を狙ったWeChat上での情報作戦
Government of Canada – April 7, 2025
カナダ政府の「選挙の安全保障および情報脅威対策(Security and Intelligence Threats to Elections)」タスクフォースは、同国の次期連邦選挙を標的とした情報作戦を発見した。この作戦には中国のソーシャルメディアプラットフォームWeChat上で最も人気のあるニュースアカウント「Youli-Youmian(有理儿有面)」が関与し、カナダ在住の中国系カナダ人のコミュニティに影響を与えることを目的としていた。作戦では特にマーク・カーニー首相の対米姿勢が誇張され、その経験や資格を攻撃することで同首相に対する認識を歪める試みが行われている。2025年3月10日と同25日には組織的な不正行為と思われる活動が急増し、カーニー首相に関する誇張記事は8.5万〜13万回のインタラクションを稼ぎ、閲覧数も推定で100万〜300万回を記録した。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
