-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ロシア関連アクターAPT28がMicrosoft Officeのゼロデイを攻撃に利用(CVE-2026-21509)
ウクライナのCERT-UAによると、ロシア系脅威アクターAPT28(別名Fancy Bear、UAC-0001)がMicrosoft Officeの最新のゼロデイ(CVE-2026-21509)を悪用してウクライナの政府機関やEU関連組織を攻撃している。CVE-2026-21509はマイクロソフトが1月26日に公開したばかりの脆弱性で、セキュリティ機能のバイパスを可能にするとされる。
1月29日には武器化された文書「Consultation_Topics_Ukraine(Final).doc」がCERT-UAによって発見された。文書はウクライナに関するEUの議論をテーマにしており、メタデータによるとファイルの作成日は1月27日とのこと。また、29日にはウクライナ水文気象局の公式文書を装ったフィッシング攻撃も発生し、政府機関の職員に有害な.docファイルを添付したメールが送信された。Microsoft Officeでこのファイルを開くと、密かに外部サーバーへWebDAV接続が行われ、マルウェア展開のためのショートカットファイルがダウンロードされる仕組みになっていたという。
その後、攻撃者は正規のWindowsコンポーネントを装ったDLLをドロップし、無害に見える画像ファイルにシェルコードを隠蔽。COMハイジャッキングとexplorer.exeを再起動するスケジュールタスクによって永続性を確立し、有害コードが確実に読み込まれるよう設定する。最終的にはポストエクスプロイトフレームワーク「COVENANT」を展開し、トラフィックを正規のクラウドストレージサービス「Filen」にルーティングすることで、検出を困難にしている模様。このため、CERT-UAはFilenに関連するトラフィックの精査をするか、完全にブロックすることを推奨している。
攻撃はウクライナにとどまらず、EU加盟国の組織も標的とし、同様の文書はほかに3件見つかった。そのうちの1件ではペイロード用のドメインが攻撃当日に登録されていたそう。マイクロソフトはすでにパッチをリリースしているものの、実際のパッチ適用までには時間がかかるとCERT-UAは推測した。
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
【最新版】インテリジェンス要件定義に関するガイドブック
-300x200.png)
地政学レポート
OSINT関連レポート
ディープ&ダークウェブレポート
とは?.jpg)