-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
4月22日:サイバーセキュリティ関連ニュース
Fogランサムウェア、DOGEのメールをもじったランサムノートで被害者に嫌がらせ
Fogランサムウェアのオペレーターらは最近、イーロン・マスク氏率いるDOGE(「政府効率化省」)の話題を用いたランサムノートを使って被害組織を嘲笑するようになったという。トレンドマイクロの研究者らが報告した。
Fogは2024年5月に初めて発見された比較的新しいランサムウェアグループ。当初は主に米国の教育機関を標的にデータ盗み取ることなく暗号化のみを行い、リークサイトも運営していなかったものの、のちに暗号化に加えてデータ窃取およびリークサイトでの恐喝を実施する二重恐喝戦術へシフトしたとされる。2025年1月以来、このリークサイトには少なくとも100組の被害組織が掲載されてきた(1月:18、2月:53、3月:29)。
これまでのFogの攻撃キャンペーンでは、VPNゲートウェイ製品の漏洩認証情報が初期アクセス手段として用いられていたが、トレンドマイクロが観測した最新の攻撃はフィッシングメールでスタート。このメールには悪意あるLNKファイルを含んだ「Pay Adjustment.zip」という名称のzipアーカイブが添付されており、これをターゲットがクリックすると複数段階の感染チェーンが始まって最終的にランサムウェアペイロードが投下されることになる。
トレンドマイクロによれば、上記のLNKファイルはPowerShellスクリプトをダウンロードし、このスクリプトによってランサムウェアダウンローダーやシステム情報の収集/伝達ツール、ラテラルムーブメント用のツールなどが取得された。このスクリプトはまた、政治関連のYouTube動画を開く機能も備えていたほか、スクリプトに直接政治関連のコメントが書き込まれていたという。
この新しいFogの攻撃で特徴的だったのは、被害者が受け取ったランサムノート。本文には、被害者に対して「先週何を達成したのか5つ箇条書きで挙げよ、さもなければ1兆ドルを払ってもらうことになる」などと指示する内容の記載があった。これは、DOGEが2月に米連邦政府職員へ送りつけたことで話題となった「先週何をした?」というタイトルのメールのパロディだと思われ、一部のケースではDOGEで働く職員への言及も見受けられたという。そしてランサムノートの「P.S.」パートには、ほかの誰かにマルウェアを拡散させれば無料でシステムを復号するというオファーが記されていた。
トレンドマイクロの研究者は、これらの攻撃が、嫌がらせ目的でDOGEをもじったオリジナルのFogメンバーによるものであろうと、なりすまし目的でFogのランサムウェアを利用する別の脅威アクターによるものであろうと、攻撃が成功した場合に被害企業は金銭的損失や事業/業務の停滞などの損害を被る恐れがあると指摘。Fogランサムウェアの動きを注視できるようIoCを提供するとともに、データのバックアップを取得して安全に保管する、ネットワークセグメンテーションを行う、ソフトウェアを最新に保つ、など標準的なランサムウェア防御策の実施を推奨した。
Scallywag:広告不正用WordPressプラグインで海賊行為を収益化するオペレーション
BleepingComputer – April 21, 2025
映画やソフトウェアなどの有料コンテンツを盗み出し、無償で不法配信するデジタル版海賊行為を収益化する大規模な広告不正オペレーション「Scallywag」について、ボット・不正検出企業のHUMANが報告。ScallywagはWordPress拡張機能の集合体であり、脅威アクターらはこれを利用して、海賊版サイトやURL短縮サービスサイトのインプレッションを収益化しようとしていたという。
海賊版サイトやURL短縮サイトは通常、法的リスクやブランドの安全性に関する懸念、広告詐欺、品質の低さといった問題から正規の広告主から敬遠されており、広告掲載に難がある。このためこうしたサイトに関与するアクターらにとって、犯したリスクをどのように金儲けの機会へ変えるのかが大きな課題となってきた。Scallywagはそのようなリスキーで低品質なサイトを収益化に繋げるのに役立つサービスで、以下4つのWordPressプラグインで構成されていたという。
- Soralink
- Yu Idea
- WPSafeLink
- Droplink
これらのプラグインは、海賊版サイトやURL短縮サービスサイトの訪問者をまず1つまたは2つ以上の仲介サイトへリダイレクト。これらが、多数の広告を表示する収益化サイトとなる。その後、訪問者は最終的に海賊版サイトで選択した映画などの不法コンテンツ、または短縮後のURLへアクセスできるようになる。上記プラグインはこのリダイレクト処理のほか、広告のロードやCAPTCHA、タイマーのほか、プラットフォームチェック時にクリーンなブログを表示させるクローキングのメカニズムを処理していたという。HUMANはScallywagのオペレーションを支えるドメインを407件特定しており、ピーク時には1日あたり14億件もの不正な広告リクエスト(Bid Request)を観測している。
しかしその後のHUMANの取り組みにより、この不正なトラフィックはほぼゼロに激減。Scallywagのエコシステムは収益化の観点では崩壊したものの、オペレーターらは引き続き講じられた対策の回避策を考案して収入源を取り戻そうとする可能性もあるとのこと。
Eブック無料配布中:Codebook 2024 ~サイバーセキュリティ分析レポート~
Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。
無料ダウンロードはこちらのバナーから:
目次
第1章:脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法
第2章:世界情勢や地政学がサイバーセキュリティにもたらす影響
第3章:スティーラーの急成長と認証情報の漏洩が生むリスク
第4章:サプライチェーンリスク
第5章:2024 年に組織を脅かした脆弱性
