-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ウィークリー・サイバーラウンド・アップ
UNC6040のビッシングキャンペーン、Salesforceインスタンスから認証情報を窃取
Googleの研究者により、脅威アクターUNC6040の詳細が明らかにされた。UNC6040は金銭的な利益を動機にする脅威クラスターで、Salesforceインスタンスへの侵入を目的としたビッシングキャンペーンを専門にしている。ITサポート担当者になりすまして従業員を騙し、Salesforceのデータローダーの有害バージョンをインストールさせ、機微性の高い認証情報を開示させる手口だ。これらの認証情報はラテラルムーブメント(横方向の移動)に加え、Oktaやマイクロソフトなどほかのクラウドプラットフォームからデータを盗むために使われる。また、最初の侵入活動から数か月後に恐喝活動が確認されるケースもあり、盗まれたデータを金銭化する別の脅威グループと連携している可能性が示唆されている。その他の侵入では、ハッカー集団「The Com」と重複するTTP(戦術・技術・手順)が使用されていた。さらに、UNC6040はハッカーグループShinyHuntersとのつながりを主張し、被害者への圧力を強める手段としているようだ。
UNC5792、スピアフィッシング攻撃にSignalメッセンジャーを使用 アルメニアの市民社会が標的に
2025年3月初旬、UNC5792のスピアフィッシングキャンペーンをCyberHUBの研究者が発見した。アルメニアの市民社会および公共部門の個人や組織を標的としたこのキャンペーンでは、同国ハイテク産業省に勤務するとされる架空のペルソナ「Armine Poghosyan」からSignalでメッセージが送信される。このメッセージは世界とアルメニアの政治情勢に関する「情報プラットフォーム」に参加するようユーザーを誘導し、有害なリンクへのアクセスを促していた。Signalのメッセージに記されたURLは、分析を難しくするために有効期限を短く設定。標的となったユーザーがリンクの有効期限切れを攻撃者に伝えると、すぐに新しい有効なURLが送信される。
Glitchプラットフォームを悪用したフィッシング攻撃、米海軍連邦信用組合の会員狙う
Netskopeの研究者は2025年1月から4月にかけて、Glitchプラットフォーム上で作成されたフィッシングページへのトラフィックが3.32倍に増加したことを確認した。このキャンペーンは830超の組織と3,000人以上のユーザーに影響を与えており、主に米海軍連邦信用組合の会員を標的として機微情報を盗み出している。攻撃者はGlitchの機能を悪用し、複数のプロジェクトにまたがるフィッシングページを無料でホストしていた。キャンペーンの半数はTelegramを悪用して被害者のデータを抜き出し、ワンタイムパスワード(OTP)を入手。一部の攻撃ではカスタムビルドのCAPTCHAテストを使い、被害者をフィッシングサイトにリダイレクトさせていた。また、決済ゲートウェイを模倣したフィッシングページでクレジットカード番号や電話番号を収集し、その後に被害者へOTPの入力を促すケースもある。
最新版Crocodilusが攻撃対象を拡大
Android向けバンキング型トロイの木馬「Crocodilus」を使った複数の新たなキャンペーンをThreat Fabricの研究者が確認した。当初はスペインとトルコを狙っていたが、今ではヨーロッパ諸国、アルゼンチン、ブラジル、米国、インドネシア、インドも標的にしている。Crocodilusはボーナスポイントの付与を謳うアプリなど、ソーシャルメディア上でのマルバタイジングキャンペーンを通じて拡散。アップデートを通じて難読化技術を発展させており、ドロッパーとペイロードの両方のコードパッキングやペイロードへのXOR暗号化の追加、不必要なほど難解なコードで分析と検出をより困難にしている。Crocodilusは感染デバイスの連絡先リストを編集することもできるため、攻撃者の制御能力の向上の一因となっている。
NetBirdを悪用する世界規模のスピアフィッシングキャンペーン、財務担当役員を攻撃
2025年5月15日、Trellixの研究者はヨーロッパ、アフリカ、カナダ、中東、南アジアの銀行やエネルギー会社、保険会社、投資家企業の最高財務責任者や財務担当役員を標的としたスピアフィッシング攻撃を発見した。攻撃者はリモートアクセスツールNetBirdを悪用・展開して永続性を確立し、侵害したネットワークへさらに侵入することを目的としている。攻撃はロスチャイルド・アンド・コーの採用担当者を装ったフィッシングメールから始まる。メールにはPDFに偽装したフィッシングリンクが含まれていて、それをクリックするとFirebaseアプリでホストされているURLにリダイレクトされる。被害者はその後カスタムCAPTCHAへの解答を求められ、正しい答えを入力すると、展開後VBSスクリプトになるZIPファイルのダウンロードが始まる。VBSを実行すると2つ目のVBSが実行され、それぞれNetBirdとOpenSSHを含むMSIファイルが2つダウンロードされる。加えて、スクリプトは隠しローカルアカウントを作成し、無期限のパスワードを設定。スケジュールしたタスクによって感染デバイスが起動される度にNetBirdが再起動されるようにする。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
