-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ウィークリー・サイバーラウンド・アップ
Lampionマルウェアキャンペーン、ClickFixの手法でポルトガル語圏の企業や組織を攻撃
Palo Alto Unit 42 – May 6, 2025
パロアルトネットワークUnit42の研究者は2024年後半から2025年初頭にかけて、ClickFixの手法でLampionマルウェアを配布する悪意のあるキャンペーンを観測した。このキャンペーンはポルトガル語圏の政府機関や金融機関、運輸部門の組織を標的とし、高度に難読化されたVBScriptの使用やソーシャルエンジニアリングのテーマなどにおいて以前のLampionキャンペーンと同様のパターンを示している。使用された感染チェーンは複数の独立した段階に分かれており、各段階単独では無害なプロセスに見えるように実行される。被害者にはまずフィッシングメールが送られる。このEメールにはZIPファイルが添付されており、同ファイル内のHTMLファイルを被害者が開くと、リダイレクトののちポルトガルの財務当局を装ったWebサイトが表示される。第1段階の実行後、PHPファイルに偽装し難読化された第2段階用のダウンローダーがTEMPフォルダに書き込まれる。そして第3段階では偵察と検出回避が行われると共に、第4段階のDLLローダー向けた実行メソッドが作成される。
「ミステリーボックス」定期購入詐欺、Facebookページと広告を活用して金銭を詐取
Bitdefenderの研究者により、極めて巧妙な偽Webサイトを活用して定期購入詐欺を促進するキャンペーンの増加が確認された。コンテンツクリエイターを装った脅威アクターがFacebookページや広告を作成し、「ミステリーボックス」詐欺などさまざまな詐欺行為を宣伝している。この詐欺は近年に進化を遂げており、ユーザーに特典や割引を提供するように見せかけたサブスクリプションモデルを導入。自動検出を回避する方法もいくつか採用され、数種類の広告のうち悪意のあるものを1つに絞る、後で差し替えられるようにGoogleドライブから画像を直接アップロードする、画像をトリミングして視覚的なパターンを変更する、画像内でのみ文字を表示する、あるいは古典的なホモグラフの手法を使用するようになっている。200以上のWebサイトがこのキャンペーンで使われていたことが確認されており、一部のサイトは現在も運用が続けられている。また、最近作られたアカウントページもあれば、攻撃者のハッキングで乗っ取られたものも存在する。
Venom Spider、More_eggsの展開にサーバーポリモーフィズムを悪用
金銭目的の脅威グループVenom Spiderが関与し、採用担当者や企業の人事部門を標的とするスピアフィッシングキャンペーンをArctic Wolfの研究者が確認した。遅くとも2023年10月から観測されているこのキャンペーンは正規のメッセージサービスや求人プラットフォームを悪用するもので、More_eggsバックドアの強化版を仕込んだ偽の履歴書で実際の求人に応募。被害者へ直接送信されるスピアフィッシングメールには、攻撃者が管理するWebサイトへリダイレクトさせるリンクが含まれている。そのサイトではCAPTCHAの入力を要求した後、おとり画像と履歴書を装った有害なLNKファイルを含むZIPファイルをダウンロードさせ、このLNKファイルがバッチスクリプトを起動。続いてJavaScriptペイロードがトリガーされ、More_eggs_Dropperと呼ばれる複雑な実行可能ライブラリが投下される。More_EggsはアクティブになるとC2通信を確立し、さまざまなコマンドの実行を容易にする。
MacReaperの水飲み場型攻撃キャンペーン、Atomic StealerでmacOSユーザーを標的に
BadByteの研究者により、Atomic StealerマルウェアでmacOSユーザーを狙った水飲み場型攻撃キャンペーン「MacReaper」が発見された。同キャンペーンが見つかったのは2025年5月4日で、ブラジルの侵害されたニュースサイトを通じて検出されている。侵害された可能性のあるWebサイトが約2,800件特定された点は、Webサイトホスティングまたはコンテンツ管理システムの脆弱性を悪用する組織的な攻撃が行われたことを示唆している。攻撃にはClickFixの偽reCAPTCHAインターフェースが使われ、これがEtherHiding技術を活用したBinanceスマートコントラクトを起動し、Base64形式にエンコードされたコマンドをクリップボードに送信。ユーザーはmacOS固有のショートカットからコマンドを実行するよう促され、これがAtomic Stealerを取得するスクリプトをダウンロードする。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
