-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ウィークリー・サイバーラウンド・アップ
Lampionマルウェアキャンペーン、ClickFixの手法でポルトガル語圏の企業や組織を攻撃
Palo Alto Unit 42 – May 6, 2025
パロアルトネットワークUnit42の研究者は2024年後半から2025年初頭にかけて、ClickFixの手法でLampionマルウェアを配布する悪意のあるキャンペーンを観測した。このキャンペーンはポルトガル語圏の政府機関や金融機関、運輸部門の組織を標的とし、高度に難読化されたVBScriptの使用やソーシャルエンジニアリングのテーマなどにおいて以前のLampionキャンペーンと同様のパターンを示している。使用された感染チェーンは複数の独立した段階に分かれており、各段階単独では無害なプロセスに見えるように実行される。被害者にはまずフィッシングメールが送られる。このEメールにはZIPファイルが添付されており、同ファイル内のHTMLファイルを被害者が開くと、リダイレクトののちポルトガルの財務当局を装ったWebサイトが表示される。第1段階の実行後、PHPファイルに偽装し難読化された第2段階用のダウンローダーがTEMPフォルダに書き込まれる。そして第3段階では偵察と検出回避が行われると共に、第4段階のDLLローダー向けた実行メソッドが作成される。
「ミステリーボックス」定期購入詐欺、Facebookページと広告を活用して金銭を詐取
Bitdefenderの研究者により、極めて巧妙な偽Webサイトを活用して定期購入詐欺を促進するキャンペーンの増加が確認された。コンテンツクリエイターを装った脅威アクターがFacebookページや広告を作成し、「ミステリーボックス」詐欺などさまざまな詐欺行為を宣伝している。この詐欺は近年に進化を遂げており、ユーザーに特典や割引を提供するように見せかけたサブスクリプションモデルを導入。自動検出を回避する方法もいくつか採用され、数種類の広告のうち悪意のあるものを1つに絞る、後で差し替えられるようにGoogleドライブから画像を直接アップロードする、画像をトリミングして視覚的なパターンを変更する、画像内でのみ文字を表示する、あるいは古典的なホモグラフの手法を使用するようになっている。200以上のWebサイトがこのキャンペーンで使われていたことが確認されており、一部のサイトは現在も運用が続けられている。また、最近作られたアカウントページもあれば、攻撃者のハッキングで乗っ取られたものも存在する。
Venom Spider、More_eggsの展開にサーバーポリモーフィズムを悪用
金銭目的の脅威グループVenom Spiderが関与し、採用担当者や企業の人事部門を標的とするスピアフィッシングキャンペーンをArctic Wolfの研究者が確認した。遅くとも2023年10月から観測されているこのキャンペーンは正規のメッセージサービスや求人プラットフォームを悪用するもので、More_eggsバックドアの強化版を仕込んだ偽の履歴書で実際の求人に応募。被害者へ直接送信されるスピアフィッシングメールには、攻撃者が管理するWebサイトへリダイレクトさせるリンクが含まれている。そのサイトではCAPTCHAの入力を要求した後、おとり画像と履歴書を装った有害なLNKファイルを含むZIPファイルをダウンロードさせ、このLNKファイルがバッチスクリプトを起動。続いてJavaScriptペイロードがトリガーされ、More_eggs_Dropperと呼ばれる複雑な実行可能ライブラリが投下される。More_EggsはアクティブになるとC2通信を確立し、さまざまなコマンドの実行を容易にする。
MacReaperの水飲み場型攻撃キャンペーン、Atomic StealerでmacOSユーザーを標的に
BadByteの研究者により、Atomic StealerマルウェアでmacOSユーザーを狙った水飲み場型攻撃キャンペーン「MacReaper」が発見された。同キャンペーンが見つかったのは2025年5月4日で、ブラジルの侵害されたニュースサイトを通じて検出されている。侵害された可能性のあるWebサイトが約2,800件特定された点は、Webサイトホスティングまたはコンテンツ管理システムの脆弱性を悪用する組織的な攻撃が行われたことを示唆している。攻撃にはClickFixの偽reCAPTCHAインターフェースが使われ、これがEtherHiding技術を活用したBinanceスマートコントラクトを起動し、Base64形式にエンコードされたコマンドをクリップボードに送信。ユーザーはmacOS固有のショートカットからコマンドを実行するよう促され、これがAtomic Stealerを取得するスクリプトをダウンロードする。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
ダークウェブレポート『ディープ&ダークウェブにおけるSNSアカウント売買とディープフェイク』
とは?.jpg)
