-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ウィークリー・サイバーラウンド・アップ
Sednitの関与が疑われるOperation RoundPress、XSSを悪用したWebメールで政府機関などを標的に
「Operation RoundPress」と呼ばれるロシアに関連したスパイ活動をESETの研究者が発見した。この活動はSpyPressマルウェアのさまざまな亜種を使用し、ヨーロッパやアフリカ、南アメリカの政府機関や防衛産業企業の価値の高いWebメールサーバーへの攻撃を行なっている。研究者は中程度の確度で、この活動がSednitグループによるものであると評価している。スピアフィッシングメールの本文は時事ニュース関連の文章を表示しているが、HTMLコードを確認すると悪意のあるJavaScriptが埋め込まれており、クロスサイトスクリプティング(XSS)の脆弱性を利用することで、ブラウザのウィンドウで開かれているWebメールクライアントのページ内でJavaScriptのコードを実行することが可能になる。SpyPressのJavaScriptペイロードは被害者が悪意のあるEメールを開くたびにリロードされ、Webメールの認証情報を窃取し、本文の内容や連絡先の情報を被害者の受信箱から収集する。
Hazy HawkがDNSの設定ミスを悪用、著名組織を攻撃
Infobloxの研究者はHazy Hawkと呼ばれる脅威アクターを特定した。この脅威アクターはDNSの設定ミスを悪用し、有名企業や組織が放棄したクラウドリソースを乗っ取る活動を遅くとも2023年12月から行なっている。同グループはドメインを乗っ取り、トラフィック分散システムを介して詐欺サイトやマルウェアにリダイレクトするURLのホストを行う。DNSレコードとそのリソースの欠落を発見できる能力を鑑みるに、Hazy Hawkは商用のパッシブDNSサービスへのアクセスが可能であると考えられる。CNAMEのハイジャックを行い、米国疾病予防管理センター(CDC)に属するアクティブでないAzure Webサイトを特定・再登録することで、2025年2月にはCDCのサブドメインを掌握した。これにより、CDCの公式サブドメインがポルノやスパム広告を参照するサブドメインに置き換えられた。このグループはフォーチュン 500企業や大学、その他の政府機関を標的としていることが確認されている。
Pythonデバッグユーティリティに偽装された有害なPyPIパッケージ、バックドアを仕込んでデータを窃取
ReversingLabsの研究者は2025年5月13日、新しい有害なPyPIパッケージ「dbgpkg」を発見した。このパッケージはPythonデバッグユーティリティに偽装されたもので、インストールされると開発者のシステムにバックドアが埋め込まれ、攻撃者に不正なコードを実行されて機微データの窃取を許す。また、このパッケージは関数ラッパーを作成し、標的のシステムにバックドアがすでにインストールされているかどうかを確認。さらに公開鍵のダウンロード、Global Socket Toolkitのインストール、非公開Pastebinへの暗号化された接続の抽出を含む3つのcurlコマンドを実行する。バックドアを設置する技法に共通点があることから、このパッケージはハクティビストグループPhoenix Hyenaとの関連が疑われているが、同グループを真似た何者かが攻撃を実行した可能性も指摘されている。
著作権侵害を装うルアー使い、ヨーロッパのメディア組織にRhadamanthysスティーラーを配布
著作権侵害を装ったルアーを使い、中央および東ヨーロッパのマルチメディア組織に情報窃取型マルウェアRhadamanthysの亜種を配布するフィッシングキャンペーンが2025年4月初旬から始まっている。Cybereasonの研究者が観測したこのキャンペーンは、ほかのマルウェアファミリーを拡散するキャンペーンと同様のフィッシングインフラや配信メカニズムを特徴としているため、ツールの共有やアフィリエイトモデルの採用、あるいはその他のグループとの協調的な活動が行われている可能性が示唆される。EメールにはPDF文書と思しきハイパーリンクが含まれており、ターゲットを新規登録ドメインに誘導。このドメインはMicrosoft Edge経由での接続を強制し、Mediafireからアーカイブをダウンロードするよう促す。ダウンロードされたファイルには、正規のHaihaisoft PDF Reader実行ファイルに加え、DLL検索順序ハイジャックによってPDFリーダーのプロセスにロードされた有害なDLLが含まれている。このマルウェアは実行されるとAutorunレジストリキーを通じて永続性を確立し、最終的にRhadamanthysをダウンロードする。
SideWinder APTが脆弱性を悪用し、StealerBotでアジアの政府機関を標的に(CVE-2017-0199、CVE-2017-11882)
スピアフィッシングメールとジオフェンスされたペイロードを活用し、スリランカ、バングラデシュ、パキスタンの政府高官にStealerBotを配信するSideWinderの新たな多段階型APT(高度持続的脅威)キャンペーンをAcronisの研究者が発見した。SideWinderはMicrosoft WordファイルとRTFファイルを介してCVE-2017-0199およびCVE-2017-11882を悪用し、細工されたファイルが開かれるとリモートコード実行で標的のシステムに侵入。Eメールに添付されたMicrosoft WordファイルはRTFファイルのダウンロードに使用され、このRTFファイルがユーザーの操作なしに攻撃チェーンの次の段階をトリガーする。マルウェア配布に際しては、mshtaの悪用ではなく、シェルコードベースのローダーが引き続き利用されているようだ。シェルコードは標準のWindows APIの呼び出しを介し、埋め込まれたPEファイルをエクスプローラー実行可能ファイルに挿入。その後にDLLサイドローディングでStealerBotを配布する。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
ダークウェブレポート『ディープ&ダークウェブにおけるSNSアカウント売買とディープフェイク』
とは?.jpg)
