-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
悪名高いマルウェアLumma Stealerがテイクダウンされる
マイクロソフトおよび各国の法執行機関は21日、悪名高いインフォスティーラー「Lumma Stealer(別称LummaC2)」をテイクダウンしたと発表。関連するドメイン2,300件が差し押さえられるとともに、同スティーラーを売りに出していたダークウェブマーケットも米司法省によってブロックされたという。
米国以外にこの作戦に参加したのが、ユーロポールのEC3(欧州サイバー犯罪センター)と日本のJC3(日本サイバー犯罪対策センター)。両者は、ヨーロッパおよび日本に位置していたサーバーを追跡し、Lummaインフラの押収に貢献したとされる。またマイクロソフトのデジタル クライム ユニット(DCU)はLummaのC2インフラを特定・マッピングするためのツールを開発し、およそ2,300件のドメインのテイクダウン・停止・ブロックを支援した。
Lumma Stealerとは、2022年からロシア語のフォーラムで宣伝されるようになったマルウェア・アズ・ア・サービス。その後ダークウェブマーケットのほかTelegramなどでもサブスクリプション形式で販売されており、利用者であるサイバー犯罪者らはこのマルウェアをスピアフィッシングやマルバタイジング、ドライブバイダウンロードといった手法で配布。最近では、ClickFixの手法もLummaの配布手段として用いられるようになっていた。マイクロソフトは、LummaマルウェアやC2、および同MaaSサービスを開発・運営する脅威アクターを「Storm-2477」として追跡している。
Lummaはマシンに感染すると、ブラウザ認証情報やCookie、各種ブラウザ(Edge含むChromium、Mozilla、Geckoベースのもの)のオートフィルデータ、コールドストレージの暗号鍵などを盗み出す。また、ユーザープロファイルやその他の一般的なディレクトリで見つかったファイル(特に拡張子が.pdf、.docx、.rtfのもの)に加え、CPU情報やOSバージョン、システムロケール、インストールされているアプリケーションなどのシステムメタデータも収集可能。
Lumma Stealerによって盗み出されたデータはその後、ダークウェブのマーケットで販売されるか、ランサムウェア攻撃で利用されていたものとみられる。マイクロソフトは21日に公開したレポートの中で、Octo Tempest(Scattered Spider)、Storm-1607、Storm-1113、Storm-1674といったランサムウェアアクターがそれぞれのキャンペーンにおいてLummaを使用するのを観測したと述べている。
マイクロソフトのレポート記事では対策のための推奨事項やハンティングクエリが紹介されているほか、米FBIとCISAの共同アドバイザリでは技術的詳細やIoCなどの情報が共有されている。
Eブック無料配布中:Codebook 2024 ~サイバーセキュリティ分析レポート~
Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。
無料ダウンロードはこちらのバナーから:
目次
第1章:脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法
第2章:世界情勢や地政学がサイバーセキュリティにもたらす影響
第3章:スティーラーの急成長と認証情報の漏洩が生むリスク
第4章:サプライチェーンリスク
第5章:2024 年に組織を脅かした脆弱性
