-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ウィークリー・サイバーラウンド・アップ
英内務省を装ったフィッシング攻撃、ビザスポンサーライセンス保有組織を標的に
Mimecastの研究者により、スポンサーライセンスを有する英国の組織を標的とした継続的なフィッシングキャンペーンが発見された。ビザスポンサーシッププログラムを管理する組織に加え、スポンサーシップ管理システム(SMS)のユーザーが特に狙われている。金銭的搾取や移民関連の詐欺活動、個人情報の窃取を行うためにSMSポータルのログイン認証情報を盗み出すことを目的とし、攻撃者は英内務省になりすましてライセンスの一時停止やコンプライアンス関連の緊急対応を求める偽メールを送信する。このメールにはCAPTCHAで保護されたページへのリンクが含まれ、公式SMSポータルを複製したフィッシングページにユーザーをリダイレクトさせ、管理システムの機能を使用するために必要だと称して認証情報を入力させることでIDとパスワードを盗み出す。侵害されたアカウントは通常、金銭目的でダークウェブフォーラムで販売される、あるいは移民詐欺に直接使用されるが、一部のアカウントは標的組織の恐喝に使われることもある。
TA558の関与が疑われるキャンペーン、ステガノグラフィでPureLogsやRemcosマルウェアを拡散(CVE-2017-11882)
ShadowOpCodeの研究者は2025年7月から8月にかけて、イタリア語を話す個人を標的としたマルスパムキャンペーンを確認した。このキャンペーンでは請求書に関連したフィッシングメールにXLS文書を添付し、脆弱性CVE-2017-11882を悪用して多段階のドロッパー実行チェーンを開始する。また、同キャンペーンではJPG画像にBMPファイルを埋め込むステガノグラフィの手法で.NETペイロードを隠蔽し、最終的にDLLファイルに格納されたRemcosまたはPureLogsマルウェアを実行。ローダー内の変数名にイタリア語とフランス語、DLL内の用語にポルトガル語が使われている点は、かつてTA558のSteganoAmorキャンペーンに関連付けられたパターンと共通していた。手法や言語選択、ステージングロジックが重複している点についても、このキャンペーンの背後にTA558または同じツールセットを使うアクターが存在することを強く示唆していると、研究者らは中程度から高い確度で評価している。加えて、DuckDNSやngrokなどを使用するこのキャンペーンのインフラも以前報告されたTA558のクラスターと一致する。
パキスタン拠点のネットワークがSEOポイズニングでインフォスティーラーを拡散
CloudSEKの研究者は、パキスタンを拠点とするネットワークからインフォスティーラーが拡散されていることを発見した。このネットワークはSEO(検索エンジン最適化)ポイズニングを活用するだけでなく、正規のオンラインフォーラムやプラットフォームを悪用し、ペイパーインストール(pay-per-install、PPI)スキームから金銭的利益を得ている。活動は2020年から続いており、需要の高いクラック版ソフトウェアに関する投稿を作成して被害者をWordPressサイトへ誘導し、パスワード保護されたアーカイブを介してLumma Stealer・Meta Stealer・Atomic macOS Stealerなどの情報窃取型マルウェアを配信する。脅威アクターは独自のPPIネットワークを運営しており、マルウェアのインストールに成功した際にはSpax MediaとInstallBankを用いて自身とアフィリエイトに報酬を支払う。現時点までに5,239組のアフィリエイトがネットワークを構成し、3,883件のサイトを運営している。計測期間中に総クリック数が4億4,900万回以上、インフォスティーラーのインストール数は188万回超を記録した。キャンペーンを通じての収益は467万ドル以上とされる。
PS1Botに感染させるキャンペーンを確認 キーロギング、データ盗難、永続化などにPowerShellコマンドを活用
2025年を通じ、マルバタイジングの手法で多段階マルウェアフレームワーク「PS1Bot」に感染させる進行中のキャンペーンをCisco Talosの研究者が確認した。PowerShellとC#で実装されたPS1Botはモジュール型のマルウェアで、キーロギングや情報窃取、偵察、そして永続化のためのモジュールを複数備えているが、これらは検出回避のためメモリ内で実行される。このマルウェアはダウンローダーとして機能するJavaScriptファイルを含む圧縮アーカイブを介して拡散され、JavaScriptファイルが実行されると必要な環境設定(C2接続を確立するためのPowerShellスクリプトの作成など)が行われる。追加で受信したコンテンツはInvoke-Expressionに渡された後、PowerShellプロセス内で実行され、これにより認証情報やセッショントークン、金融データが窃取可能になる。キャンペーンを通じて非常に活発な活動が見られ、新たなサンプルが過去数か月間で継続的に確認されている。また、PS1Botの設計と実装方法にはAHK Botマルウェアファミリと類似する点があり、このキャンペーンに関連する活動も以前報告されたSkitnetと重複する。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
とは?.jpg)
