-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ウィークリー・サイバーラウンド・アップ
OceanLotus、有害なCobalt Strikeプラグインで中国のサイバーセキュリティ担当者を攻撃
ThreatBookの研究者はバックドアを仕込んだCobalt Strikeのエクスプロイト用プラグインに関する最近の報告について、東南アジアの高度持続的脅威グループ「OceanLotus」の関与が疑われると指摘した。このプラグインは2024年10月にGitHubで公開されたもので、中国のサイバーセキュリティ専門家を標的にしている。さらに研究者チームは、昨年9月中旬以降の攻撃で使用された同様のサンプルも特定した。攻撃者は検出を回避するため、不正なSUOファイルをVisual Studioプロジェクトに埋設。このVisual Studioプロジェクトをコンパイルするとトロイの木馬が自動的に実行される仕組みで、これはその後に上書きされて削除され、さらなる検出を逃れる。OceanLotusが常用するDLLホローイング手法はマルウェアの配信に、メモ作成プラットフォームNotionはC2通信に使われている。
RedCurl、カナダの組織を標的に新バックドア「RedLoader」を展開
高度持続的脅威グループ「RedCurl」の関与が疑われるスパイ活動の一環として、カナダの複数組織を標的としたキャンペーンをHuntressの研究者が観測した。遅くとも2023年11月に始まり、2024年後半まで続いたこのキャンペーンでは、基本的なバックドア機能を備えた新種のマルウェア「RedLoader」が展開されている。同グループはRedLoaderを難読化するために動的DLL解決、文字列暗号化、ジャンクC2アドレスを使っており、攻撃手法と感染チェーンも過去に報告されたケースと比べていくつか変更が確認された。これにはスケジュールされたタスクにPcaluaなどのLiving-Off-The-Landバイナリを使ってマルウェアとスクリプトを実行する点や、7zipによるデータ抽出のほか、Pythonスクリプトを介したリバースプロキシトンネルの設定にRPivotツールを活用することが含まれる。さらにRedCurlは攻撃を実行するため、PowerShellとPythonスクリプトに加えて各種バッチファイルを使用していることも観察されている。
カザフスタンを標的としたキャンペーン「Double-Tap」にUAC-0063が関連か
Sekoiaの研究者は進行中のサイバースパイ活動「UAC-0063」の一環として、カザフスタン外務省の正規Office文書が複数使用されていることを突き止めた。このキャンペーンはカザフスタンを含む中央アジア諸国を標的としたもので、同国とアジア・西欧諸国との外交/経済関係もターゲットにされている。同キャンペーンはHATVIBEおよびCHERRYSPYマルウェアを配信する新しい感染チェーン「Double-Tap」を伴う。この感染チェーンでは配信された文書内にこれまで知られていなかった有害なコードが含まれており、不正マクロでもう1つの有害文書を作成。この新たな文書は非表示のWordインスタンスで自動的に開かれ、HATVIBEが埋め込まれた有害なHTAファイルをドロップして実行する。観察された感染チェーンは、バックドアを投下するためにVBAスクリプトを使用するなど、以前報告されたZebrocyの感染チェーンと類似点が認められる。研究者はUAC-0063について、ロシアの脅威アクターAPT28に関連していると中程度の確度で評価している。
中東諸国を狙った不動産詐欺が急増
Group-IBの研究者は、オンラインプラットフォームを悪用した不動産詐欺が中東諸国で増加していることを確認した。主なターゲットにされているのは、海外駐在員や新たに移住する個人など特定のグループ。その手口は詐欺師がプラットフォーム上で適切な広告を探し、これをコピーして自身の名前で公開することからスタートする。この広告を見た被害者がプラットフォームのメッセンジャーまたはサードパーティのアプリケーション(最も多いのはWhatsApp)を介して連絡を取ると、詐欺師は信用を得るために偽の不動産契約書や賃貸契約書などを提示。騙された被害者はその後、賃貸登録プラットフォームのアカウントにリンクされた詐欺師の電子ウォレット、またはミュールアカウントへの直接送金を介し、架空物件の代金を支払ってしまう。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
地政学レポート
インテリジェンス要件定義に関するガイドブック
ディープ&ダークウェブレポート
とは?.jpg)
