国家支援型脅威アクターやサイバー犯罪者がサイバーセキュリティベンダーを攻撃

nosa

2025.05.02

ウィークリー・サイバーラウンド・アップ

国家支援型脅威アクターやサイバー犯罪者がサイバーセキュリティベンダーを攻撃

SentinelOne – April 28, 2025

国家支援型脅威アクターとサイバー犯罪者がSentinelOneを含むサイバーセキュリティベンダーを標的にしていると、SentinelOneの研究者が警告した。その一例として、北朝鮮のITワーカーが求職者を装って企業のプラットフォームにアクセスまたは悪用しているケースのほか、中国系アクターがSentinelOneの事業や顧客基盤に繋がりのある複数組織を攻撃している事例も挙げられている。特定された中国関連の脅威アクターには、2024年10月にGoReShellバックドアを使い、Operational Relay Box（ORB）化されたネットワークを使用した攻撃を複数の業界に対して行ったPurpleHazeが含まれる。標的の1つとなった南アジアのある政府機関は、2024年6月にもScatterBrainで難読化されたShadowPadのサンプルで攻撃されている。また、脅威アクターが自身の活動を宣伝するためにプライベートメッセージングアプリを使う傾向が強まる一方で、Nitrogenのようなランサムウェアグループは実在企業になりすまし、小規模リセラーからエンドポイント検出・対応サービスやその他のセキュリティ製品の公式ライセンスを購入していることも判明した。

Earth Kurma APTキャンペーンが東南アジアの政府機関と通信部門を攻撃

Trend Micro – April 25, 2025

2024年6月以降、東南アジアの政府機関および通信部門を標的とした高度持続的脅威（APT）キャンペーンをトレンドマイクロの研究者が確認した。このキャンペーンは政府機関からのデータ窃取を主な目的とし、サイバースパイ活動を動機としている可能性が高い。ラテラルムーブメントの段階では、WMIHACKERやKMLOGキーロガー、ICMPinger、Ladonなど複数のツールで被害者のインフラを調査。さらにDUNLOADER、TESDAT、DMLOADERなど複数のローダーを使ってペイロードをメモリにロードして実行するほか、KRNRATやMORIYAなどのルートキットでスキャンを回避している。その後、これらのローダーはSIMPOBOXSPYおよびODRIZといった情報流出ツールを展開するために使用され、特定の文書をDropboxやOneDriveなどの攻撃者のクラウドサービスに流出させる。研究者チームにより、この活動は新興APT「Earth Kurma」によるものと特定されている。

Power Parasitesキャンペーン、求人詐欺と投資詐欺でアジア諸国を標的に

Silent Push – April 23, 2025

Silent Pushの研究者により、バングラデシュやネパール、インドを中心とするアジア諸国の個人を狙った進行中のキャンペーン「Power Parasites」が観測された。同キャンペーンでは大手エネルギー・テクノロジー企業のシーメンス・エナジー、シュナイダーエレクトリック、レプソル、Netflixなどに扮した求人・投資詐欺の手法を使い、金融詐欺や個人情報の乗っ取りの実行に役立てている。これらの詐欺活動はYouTube、Telegramチャンネル、Facebook、その他の偽サイトやソーシャルメディアグループで宣伝されていることが確認されており、こうしたルートで出回る偽求人に応募すると正規の雇用契約書に見せかけた文書が送られ、求職者に機微性の高い個人情報の提供を求める。研究者らは、攻撃用インフラの一部として150件以上のドメインを発見している。

Office 365の認証情報を狙うフィッシング攻撃キャンペーン、セキュリティ回避に複数の手法を駆使

Fortra – April 24, 2025

さまざまな業界の30組織を標的とし、Office 365の認証情報を盗み出す新たなフィッシング攻撃キャンペーンをFortraの研究者が特定した。このキャンペーンでは金融機関から送信されたように偽装したEメールが使われ、件名と送信者名欄にはランダムに生成された文字列を挿入してセキュリティを回避している。また、このEメールはヘッダー情報以外が空白になっており、添付された別のメールにペイロードを隠蔽。添付メールにはSVGファイルが含まれており、ここに埋め込まれた有害なコードでフィッシングサイトへ誘導する。そのページでは一見すると標準的なCAPTCHAチャレンジが表示され、これをクリアするとPDFダウンロードポータルのようなページが開く。続いてファイルにアクセスするためにメールアドレスの入力を求められ、これを使って完全なログイン認証情報を必要とするカスタムのOffice 365ログインページが生成される。

OutlawボットネットがSSH認証情報を利用し、コマンド実行やDDoS攻撃などを行う

SecureList – April 29, 2025

米国・ドイツ・イタリア・ブラジルなどのLinux環境を狙い、脆弱または初期設定のままのSSH認証情報を利用するOutlawボットネットキャンペーンをカスペルスキーの研究者が発見した。このボットネットは「rsync」のプロセスへの偽装やバックグラウンドでの自身のコピーの作成、終了シグナルの無視、幅広い有害な機能の助長を行う。脅威アクターはSSH認証情報を侵害した後、「wget」や「curl」などのコマンドを使ってダウンロードした第1段階のスクリプトを用いて攻撃者のサーバーからファイルをダウンロード。続いてマシン上にマイナーが存在するかどうかを確認し、ある場合はブロックした上で、次段階のマルウェア実行と永続化を図るためにファイルを実行する。このマルウェアはBase64エンコードされた文字列であり、デコードするとPerlスクリプトであることがわかり、これが侵害システム上でバックドアとして機能するIRCベースのボットネットクライアントになる。また、隠しディレクトリ内の別のファイルには仮想通貨マイナーXMRigのバイナリが存在していた。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。