-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ウィークリー・サイバーラウンド・アップ
MirrorFaceが標的を拡大中 EUの外交機関も狙われるように
ESETの研究者は2024年第2四半期および第3四半期を通じ、中国系脅威アクターMirrorFaceの標的が日本にとどまらず欧州連合(EU)の外交機関にも拡大していることを確認した。このキャンペーンではANELおよびHiddenFaceバックドアを配布するため、来年大阪で開催予定の「2025年日本国際博覧会(大阪万博)」に関するおとりが使われている。また観測期間中はFlax Typhoon、Webworm、GALLIUMなど中国とつながりのある高度持続的脅威(APT)アクターが、アクセスを維持するためにSoftEther VPNをますます使うようになっていたことも確認された。
TA455、イランのDream JobキャンペーンでLazarus Groupの戦術を使う
ClearSky Cyber Security – November 12, 2024
ClearSkyの研究者は偽の求人情報を航空宇宙、航空、防衛業界に送りつける新たなキャンペーン「Iranian Dream Job」を特定し、Charming KittenのサブグループであるTA455との関連性を指摘した。首謀者の目的は、SlugResinバックドアを起動するために使われるSnailResinマルウェアを配布すること。遅くとも2023年9月から実施されているこのDream Jobキャンペーンについて、研究者は特にLazarus Groupといった北朝鮮の脅威アクターが使う戦術やツールを真似ていると評価しており、実際にDLLサイドローディング攻撃でLazarus Groupが使用したものと重複する類似のルアー、攻撃手法、マルウェアファイルが使われている。重複が見られるという点から、TA455が自身の仕業だと分からないようにLazarus Groupを装おうとしていた、あるいは北朝鮮がイランと攻撃手法やツールを共有していたことがうかがえる。
GuLoader、ヨーロッパの工業およびエンジニアリング業界を標的に
Cadoの研究者により、ヨーロッパの工業およびエンジニアリング企業を標的にした新たなGuLoaderキャンペーンが発見された。GuLoaderはRemcos、NetWire、AgentTeslaといったリモートアクセス型トロイの木馬の配信に使われるシェルコードダウンローダーで、ルーマニアやポーランド、ドイツ、カザフスタンなどの企業にスピアフィッシングメールを介して配信される。このEメールは偽の企業または侵害されたアカウントから送信され、注文の問い合わせに見せかけてメールスレッドをハイジャックする、あるいは注文についての情報を要求することが多い。これらのEメールには圧縮されたバッチファイルを含むアーカイブファイルが添付されており、これがGuLoaderの第1段階として機能する。
CloudComputatingがQSCフレームワークをサイバースパイ活動に使用
カスペルスキーの研究者は2021年、CloudComputatingグループが南アジアの通信業界を狙った攻撃で使ったマルチプラグインマルウェアフレームワーク「QSC」を発見した。QSCはプラグインをメモリにロードして実行し、スタンドアロンの実行可能ファイルまたはローダーDLLと共にペイロードファイルとしてドロップされる。このフレームワークにはローダー、コアモジュール、ネットワークモジュール、コマンドシェルモジュール、ファイルマネージャーモジュールが含まれている。2023年10月にはさらなる攻撃が確認され、2022年から標的のデバイスに存在するQuarianバックドアを介して取得したアクセスをQSCが活用。攻撃者らは2023年10月17日に初めて確認された新しいGo言語バックドア「GoClient」も展開した。
とは?.jpg)
