-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ウィークリー・サイバーラウンド・アップ
UNC6032が偽のAI動画生成Webサイトでマルウェアを配布、認証情報を窃取
2024年11月以降、UNC6032と呼ばれるキャンペーンをMandiantの研究者が観測している。世界規模で進行中のこのキャンペーンは偽の人工知能(AI)を使った動画生成Webサイトでマルウェアを配布し、Pythonベースのインフォスティーラーと複数のバックドアを展開する。その狙いはログイン認証情報やCookie、クレジットカード情報、Facebook情報の窃取だ。2024年中頃から数千〜数万件の広告を配信する30以上のWebサイトが特定され、広告の大部分はFacebook、若干数はLinkedInで掲載されている。フィッシングサイトには偽の動画生成ボタンがあり、クリックするとZIPファイルとSTARKVEILのドロッパーを含む有害なバイナリがインストールされる。STARKVElLは2度実行され、最初の実行時にはモジュール型マルウェアファミリーを3つ(XWORM、FROSTRIFTバックドア、GRIMPULLダウンローダー)投下し、次の実行時にはCOILHATCHドロッパー用のPythonランチャーを生成する。UNC6032にはベトナムの関与が疑われている。
Ivanti EPMMの脆弱性を悪用するUNC5221、世界中の重要部門の組織を攻撃(CVE-2025-4427、CVE-2025-4428)
EclecticIQの研究者は、最近修正されたIvanti Endpoint Manager Mobile(EPMM)の脆弱性2件(CVE-2025-4427とCVE-2025-4428)がヨーロッパや北アメリカ、アジア太平洋地域の重要部門の組織を標的に悪用されていることを確認した。最初の活動が観測されたのは2025年5月15日。上記2つの脆弱性は初期アクセスを獲得するために悪用され、その後Javaベースのコマンドによって侵害されたシステム上で悪意のあるプロセスが実行された。コマンドの1つはインタラクティブなリバースシェルを取得するために使われ、被害者のシステムと攻撃者の間の継続的な通信を可能にする一方で、もう1つのコマンドは任意のコマンド実行に使われる。また、攻撃者は難読化されたシェルコマンドとFast Reverse Proxy(FRP)を使用してホストを偵察。その後Amazon AWS S3バケット経由でKrustyLoaderマルウェアを展開し、Silverバックドアを配信して永続性を確立する。脅威アクターはハードコードされたMySQLのデータベース認証情報を使い、「mifs」データベースも攻撃した。
Earth LamiaがSQLの脆弱性を悪用、カスタムツールを使って標的からデータを抽出
トレンドマイクロの研究者により、中国に関連する高度持続的脅威(APT)Earth Lamiaが2023年以降、Webアプリの脆弱性を悪用したSQLインジェクションでデータを盗んでいることが確認された。主なターゲットはブラジルやインド、東南アジアの複数組織で、2024年上半期には金融業界、同下半期には物流業界やオンライン小売業界、最近ではIT企業、大学、政府機関の各部門が狙われている。Earth Lamiaは頻繁に脆弱性スキャンを実施し、標的のWebサイトに存在し得るSQLインジェクションの脆弱性を特定。「sqlmap」などのツールを使ってシステムシェルを開き、SQLサーバーへのリモートアクセスを試みる。そして脆弱性の悪用に成功すると、さまざまなラテラルムーブメント活動やコマンドを実行し、データベースに直接アクセスしてデータを盗み出す。このグループはBrute RatelやCobalt Strikeなど多くのオープンソースツールを活用しているが、PULSEPACKバックドアや権限昇格ツールBypassBossといった独自のカスタムツールも継続的に開発している。
Bitter APTがパキスタンCTDを侵害し、通信会社を標的にWmRATの亜種を展開
EclecticIQの研究者は2025年5月7日、Bitter APTがパキスタン電気通信株式会社(PTCL)の従業員を狙い、WmRATの新たな亜種を展開していることを観測した。Bitter APTは以前パキスタンのテロ対策局(CTD)からStealCで窃取した認証情報を使い、スピアフィッシングメールを送信したと思われる。また、攻撃のタイミングはインド・パキスタンの軍事衝突が報じられた時期と一致しており、地域情勢の緊張が高まる中でパキスタンの通信部門を標的にした可能性が高い。スピアフィッシングメールにはIQY(Internet Query)ファイルが含まれ、このファイルにWindowsのコマンドラインを使ってWmRATをダウンロード・実行する有害なExcelマクロが添付されていた。このファイルが実行された後、以前Bitter APTに関連付けられたC2ドメインへの接続が確立される。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
