-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ウィークリー・サイバーラウンド・アップ
ロシア系アクターUNC6293のフィッシング攻撃キャンペーン、反露派のASPを標的に
Citizen LabとGoogleの研究者により、ロシアに批判的なことで知られる学者や人物を標的としたソーシャルエンジニアリング攻撃キャンペーンの詳細が明らかにされた。ロシア政府の関与が疑われるこのキャンペーンは遅くとも2025年4月から6月にかけて実施され、攻撃にはソーシャルエンジニアリングの手法を活用。ユーザーにアプリ固有のパスワード(ASP)を共有させ、メールボックスへの永続的なアクセスを確立している。このキャンペーンは2025年5月、ロシアの情報工作に詳しい著名な専門家のキール・ジャイルズ氏を狙い、米国務省職員を装った偽メールを送信。文書に安全にアクセスするため、GoogleメールアカウントのASPを作成させた。このキャンペーンはUNC6293によるものとされており、確度こそ低いものの同グループはAPT29との関連が疑われている。
Water CurseがGitHubプロジェクトを武器化し、SMTPメールボマーやSakura-RATを拡散
GitHubを悪用して多段階型マルウェアを拡散する、進行中の新たなキャンペーンをトレンドマイクロの研究者が発見した。GitHubにホストされているSMTPメールボマーやSakura-RATといったツールに埋め込まれたマルウェアが認証情報やブラウザデータ、セッショントークンなどのデータを盗み出し、リモートアクセスと永続化を可能にする。このキャンペーンに関連付けられたGitHubアカウントは少なくとも76件存在し、有害ペイロードは正規のペンテストツールに偽装されたビルドスクリプトやプロジェクトファイルに埋め込まれている。感染チェーンではVisual Basic ScriptとPowerShellによる記述で難読化されたスクリプトが使われ、暗号化されたアーカイブのダウンロード、Electronベースのアプリケーションの抽出、広範なシステム偵察をそれぞれ実行。さらにスケジュールされたタスクとレジストリの変更を使い、長期的な永続性を確保する。このキャンペーンは、金銭目的の新たな脅威アクターWater Curseによるものとされている。
XDSpy関連のXDigoマルウェア、東ヨーロッパとロシアの政府組織を攻撃
2025年3月から続く、東ヨーロッパやロシアの政府組織をXDigoマルウェアで攻撃するキャンペーンをHarfang Labの研究者が分析した。このキャンペーンはトレンドマイクロが最近発見したサイバースパイ活動を行うアクターに関連があるとみられ、LNKファイル内にコマンドラインを隠して有害なペイロードを実行している。感染チェーンはアーカイブファイルを解凍し、LNKファイルを開くことで開始され、正規の実行ファイルが有害なDLLをサイドローディングする。なお、このDLLは「ETDownloader」と称されるダウンローダーとしての役割を持っている。今回特定されたXDigoのサンプルは、カスペルスキー が2023年に文書化した類似のマルウェアをアップデートしたバージョンだと思われる。また、このキャンペーンは脅威アクターXDSpyの関与が疑われている。
Sorillus RATでヨーロッパの複数組織を攻撃するフィッシングキャンペーン
Orange Cyberdefense – June 16, 2025
Orange Cyberdefenseの研究者は、ヨーロッパの複数組織をSorillus RATで攻撃するキャンペーンの調査を行った。このキャンペーンは2025年3月にベルギーで初めて発見され、Orange Cyberdefenseの顧客が標的にされていたものの、その後にスペイン・ポルトガル・フランス・オランダの組織を標的とする大規模なキャンペーンに関連していることが判明した。初期アクセス獲得にはインボイス関連のフィッシングメールが使われ、これにはOneDrive上のPDFを開くリンクが含まれており、クリックするとngrokで公開されている悪意のあるサーバーへリダイレクトされる。このサーバーは被害者のブラウザ設定と言語設定を確認し、次の段階へ進むかどうかを判断。条件が合っている場合はJARファイルがダウンロードされ、永続性を確立した後にSorillus RATがインストールされる。このキャンペーンにはブラジルポルトガル語を話す脅威アクターが関与している可能性がある。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
