-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ウィークリー・サイバーラウンド・アップ
UNC6040のビッシングキャンペーン、Salesforceインスタンスから認証情報を窃取
Googleの研究者により、脅威アクターUNC6040の詳細が明らかにされた。UNC6040は金銭的な利益を動機にする脅威クラスターで、Salesforceインスタンスへの侵入を目的としたビッシングキャンペーンを専門にしている。ITサポート担当者になりすまして従業員を騙し、Salesforceのデータローダーの有害バージョンをインストールさせ、機微性の高い認証情報を開示させる手口だ。これらの認証情報はラテラルムーブメント(横方向の移動)に加え、Oktaやマイクロソフトなどほかのクラウドプラットフォームからデータを盗むために使われる。また、最初の侵入活動から数か月後に恐喝活動が確認されるケースもあり、盗まれたデータを金銭化する別の脅威グループと連携している可能性が示唆されている。その他の侵入では、ハッカー集団「The Com」と重複するTTP(戦術・技術・手順)が使用されていた。さらに、UNC6040はハッカーグループShinyHuntersとのつながりを主張し、被害者への圧力を強める手段としているようだ。
UNC5792、スピアフィッシング攻撃にSignalメッセンジャーを使用 アルメニアの市民社会が標的に
2025年3月初旬、UNC5792のスピアフィッシングキャンペーンをCyberHUBの研究者が発見した。アルメニアの市民社会および公共部門の個人や組織を標的としたこのキャンペーンでは、同国ハイテク産業省に勤務するとされる架空のペルソナ「Armine Poghosyan」からSignalでメッセージが送信される。このメッセージは世界とアルメニアの政治情勢に関する「情報プラットフォーム」に参加するようユーザーを誘導し、有害なリンクへのアクセスを促していた。Signalのメッセージに記されたURLは、分析を難しくするために有効期限を短く設定。標的となったユーザーがリンクの有効期限切れを攻撃者に伝えると、すぐに新しい有効なURLが送信される。
Glitchプラットフォームを悪用したフィッシング攻撃、米海軍連邦信用組合の会員狙う
Netskopeの研究者は2025年1月から4月にかけて、Glitchプラットフォーム上で作成されたフィッシングページへのトラフィックが3.32倍に増加したことを確認した。このキャンペーンは830超の組織と3,000人以上のユーザーに影響を与えており、主に米海軍連邦信用組合の会員を標的として機微情報を盗み出している。攻撃者はGlitchの機能を悪用し、複数のプロジェクトにまたがるフィッシングページを無料でホストしていた。キャンペーンの半数はTelegramを悪用して被害者のデータを抜き出し、ワンタイムパスワード(OTP)を入手。一部の攻撃ではカスタムビルドのCAPTCHAテストを使い、被害者をフィッシングサイトにリダイレクトさせていた。また、決済ゲートウェイを模倣したフィッシングページでクレジットカード番号や電話番号を収集し、その後に被害者へOTPの入力を促すケースもある。
最新版Crocodilusが攻撃対象を拡大
Android向けバンキング型トロイの木馬「Crocodilus」を使った複数の新たなキャンペーンをThreat Fabricの研究者が確認した。当初はスペインとトルコを狙っていたが、今ではヨーロッパ諸国、アルゼンチン、ブラジル、米国、インドネシア、インドも標的にしている。Crocodilusはボーナスポイントの付与を謳うアプリなど、ソーシャルメディア上でのマルバタイジングキャンペーンを通じて拡散。アップデートを通じて難読化技術を発展させており、ドロッパーとペイロードの両方のコードパッキングやペイロードへのXOR暗号化の追加、不必要なほど難解なコードで分析と検出をより困難にしている。Crocodilusは感染デバイスの連絡先リストを編集することもできるため、攻撃者の制御能力の向上の一因となっている。
NetBirdを悪用する世界規模のスピアフィッシングキャンペーン、財務担当役員を攻撃
2025年5月15日、Trellixの研究者はヨーロッパ、アフリカ、カナダ、中東、南アジアの銀行やエネルギー会社、保険会社、投資家企業の最高財務責任者や財務担当役員を標的としたスピアフィッシング攻撃を発見した。攻撃者はリモートアクセスツールNetBirdを悪用・展開して永続性を確立し、侵害したネットワークへさらに侵入することを目的としている。攻撃はロスチャイルド・アンド・コーの採用担当者を装ったフィッシングメールから始まる。メールにはPDFに偽装したフィッシングリンクが含まれていて、それをクリックするとFirebaseアプリでホストされているURLにリダイレクトされる。被害者はその後カスタムCAPTCHAへの解答を求められ、正しい答えを入力すると、展開後VBSスクリプトになるZIPファイルのダウンロードが始まる。VBSを実行すると2つ目のVBSが実行され、それぞれNetBirdとOpenSSHを含むMSIファイルが2つダウンロードされる。加えて、スクリプトは隠しローカルアカウントを作成し、無期限のパスワードを設定。スケジュールしたタスクによって感染デバイスが起動される度にNetBirdが再起動されるようにする。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
とは?.jpg)
