-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ウィークリー・サイバーラウンド・アップ
アジアの政府機関からデータ窃取を行うShadowSilk
Group-IB研究者は2024年秋、脅威アクターShodowSilkが中央アジアおよびアジア太平洋地域の政府機関を標的として一連の攻撃を指揮し、データ窃取を行っていたことを発見した。この活動は2023年から2025年7月現在に至るまで活発に行われており、直近のキャンペーンは2025年1月から7月にかけて発生した。ShadowSilkは複数の脆弱性(CVE-2018-7600、CVE-2018-7602、CVE-2024-27956など)だけでなく、MetasploitやCobalt Strike、Godzilla Webシェルといった侵入・制御ツール、そして感染したデバイスを管理するためのWebパネルなど、さまざまな種類のツールやエクスプロイトを活用する。初期アクセスの獲得にはフィッシングメールを使い、パスワード保護されたアーカイブを開いて実行ファイルを走らせるよう被害者を誘導。バイナリが起動されると、被害者のデバイスはTelegramをC2通信に転用するマルウェアに感染する。その後、攻撃者は有害なプログラムをさらにダウンロードして実行し、Windowsレジストリを改変して永続化を図る。ShadowSilkは「YoroTrooper」「Silent Lynx」という2組のサブグループで構成されており、ロシア語や中国語を話す開発者と工作員が参加している。
ZipLineキャンペーン、正当なビジネス上のやりとりを装いMixShellを展開
Check Pointの研究者は「ZipLine」と呼ばれるソーシャルエンジニアリングキャンペーンを特定した。この攻撃は米国のサプライチェーンに大きな影響を及ぼす複数の製造企業を狙い、一見正当なビジネス上のやりとりを通じてカスタムマルウェアインプラント「MixShell」を展開する。脅威アクターは「お問い合わせ」フォームを悪用して企業とEメールでのやりとりを開始し、有害なZIPアーカイブを展開するまで数週間にわたってビジネスに関する連絡を続ける。このZIPアーカイブは信頼できるプラットフォームでホストされており、正規のPDFファイルとDOCXファイルが格納されているが、攻撃チェーンを開始する有害なLNKファイルも埋め込まれている。また、このZIPアーカイブのバイナリ内には、PowerShellスクリプトが直接埋め込まれていた。LNKファイルはこのPowerShellスクリプトをメモリ内で実行してから、TypeLibをハイジャックする手法によって永続性を確立する。MixShellはWindows API関数を動的に解析してそのアドレスをシェルコードのメインのランタイム構造に格納し、ホストごとに1つのインスタンスのみがアクティブになるようミューテックスを作成する。以前はMixShellの設定値が平文で保存されていたが、現在は16進エンコードとXOR暗号化を使用するようになっており、開発者がマルウェアを進化させていることがうかがえる。また、PowerShellベースの亜種も確認されており、こちらはスケジュールされたタスクを介して永続性を確立する。
UNC6384がWebトラフィックを乗っ取り、外交官にSOGU.SECバックドアを配布
Googleの研究者は2025年3月、東南アジアの外交官や世界各地の複数組織を狙ったキャンペーンを発見した。このキャンペーンの目的は、中国の戦略的利益に連動したサイバースパイ活動を支援することだと考えられている。攻撃者は標的のWebトラフィックを乗っ取り、「STATICPLUGIN」と呼ばれるデジタル署名付きダウンローダーを配信。このダウンローダーが新しいサイドロードDLL「CANONSTAGER」をダウンロードすると、最終的にバックドア「SOGU.SEC」の亜種がメモリ内で展開される。このマルウェアはAdobeプラグインのアップデートを装って配布され、その際には中間者(AiTM)攻撃が利用されている。攻撃者はキャプティブポータルを使い、ユーザーを特定のWebサイトに誘導。ランディングページは空白のページに足りないプラグインのインストールを促す黄色のバーとボタンのみを表示するが、バックグラウンドではJavaScriptが密かに読み込まれて実行される。この攻撃は、中国系脅威アクターTEMP.Hexの関与が疑われるUNC6384によるものとされる。
Earth Lamia、ベトナムの教育施設をCobalt Strikeとトンネリングツールで攻撃
Ctrl-Alt-Int3l – August 20, 2025
ある中国系脅威アクターがベトナムの大学・教育施設で使用されている少なくとも25の環境に侵入し、Cobalt Strikeなどのツールで永続性を確立しつつ、情報を盗み出していたことをCtrl-Alt-Int3lの研究者チームが突き止めた。この脅威アクターは公開済みの脆弱性をMetasploitで悪用する手法に加え、Godzilla WebシェルのアップロードやSQLインジェクションによってアクセスを獲得。続いてCobalt Strikeビーコンを展開した後、Windowsのローカル脆弱性を悪用して権限昇格を行い、永続的なリモートアクセスを得るためにトンネリングソフトウェアをインストールしていた。使用されたトンネリングソフトには、C2フレームワークのVShellとCS 、永続的なリモートデスクトッププロトコル(RDP)トンネル、そして.NET Webシェルが含まれる。また、C2プロトコルと文字列の類似性により、VShellの展開と併せてLinuxベースのSNOWLIGHTマルウェアを使っていることも示唆された。活動の共通点と被害者情報に基づき、このキャンペーンはEarth Lamiaによるものとされている。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
とは?.jpg)
