ウィークリー・サイバーラウンド・アップGamaredonがウクライナのユーザーを狙い、戦争関連のルアーでRemcosバックドアを拡散
Cisco Talos – March 28, 2025
Gamaredonの関与が疑われるキャンペーンをCisco Talosの研究者が発見した。ウクライナのユーザーをターゲットにしたこのキャンペーンは遅くとも2024年11月から続いており、有害なLNKファイルを使って最終的にRemcosバックドアを配布している。このLNKファイルはZIPアーカイブ内に圧縮され、Officeドキュメントに見せかけていることが多く、被害者の関心を引くためにロシア語でウクライナ軍の移動に関する名称が付けられていた。ファイルの正確な配布手法は不明だが、フィッシングメールにZIPファイルを添付する、あるいはリモートホストからファイルをダウンロードさせるためにURLリンクを記す手法をGamaredonが依然として使用しているものと、研究者は考えている。また、前述のLNKファイルにはZIP形式で保存された次の段階のペイロードをダウンロード・実行するPowerShellコードに加え、おとりのファイルが含まれている。このZIP形式のペイロードにはDLLサイドローディングで有害なDLLをロードする実行可能バイナリが含まれ、これがRemcosのローダーとして機能する。
RolandSkimmerキャンペーン、有害なブラウザ拡張機能を使って金融データを窃取
Fortinet – April 2, 2025
RolandSkimmerと呼ばれるクレジットカードスキミングキャンペーンをFortinetの研究者が観測した。このキャンペーンはブルガリアの個人をターゲットにしたもので、Google Chrome、Microsoft Edge、Firefoxの不正なブラウザ拡張機能を使い、ユーザーから機微性の高い金銭関連データを収集・窃取する。攻撃は偽のLNKファイルを含む有害なZIPファイルから始まり、難読化されたVBScriptを展開して永続的かつ秘匿なアクセスを確立。続いてターゲットのブラウザに応じて追加ファイルがダウンロードされ、このファイルに不正なJavaScriptペイロードのほか、有害なブラウザ拡張機能のインストールに使われるエンコードされたRARファイルが含まれている。さらに攻撃者は、デスクトップとタスクバーにあるMicrosoft Edgeの正規ショートカットも有害なものに置き換えた。
バンキング型トロイの木馬Grandoreiroを配布する複数のフィッシングキャンペーンが観測される 標的はラ米とヨーロッパ
Forcepoint – March 27, 2025
Forcepointの研究者により、バンキング型トロイの木馬Grandoreiroの活動が再び活発化していることが観測された。このマルウェアは現在、ラテンアメリカとヨーロッパの銀行ユーザーを狙った大規模なフィッシングキャンペーンで配布されている。攻撃者はVPSホスティングプロバイダーと難読化技術を使って検出を回避し、動的URLとソーシャルエンジニアリングを駆使してマルウェアの到達範囲と有効性を最大化。メキシコ、アルゼンチン、スペインをターゲットにした最近のキャンペーンでは税務機関に扮し、偽の政府メールを使ってユーザーを騙している。重要度が「高」に設定されたこれらのEメールには有害なURLが含まれ、ユーザーをContaboホスティングサービスのWebサイトへ誘導。そこで被害者にPDFのダウンロードを要求し、あるZIPファイルをダウンロードさせる。このZIPファイルを通じて難読化されたVBScriptとEXEペイロードが送り込まれ、同ペイロードの実行中に、認証情報を盗むために設計された偽のAcrobat Readerエラーポップアップが表示される。
EmmenhtalからSmokeLoaderに連鎖感染 第一ウクライナ国際銀行の顧客が標的に
G DATA – March 31, 2025
G DATAの研究者は、第一ウクライナ国際銀行を装って顧客にEmmenhtalマルウェアローダーを配布するキャンペーンを発見した。このマルウェアからSmokeLoaderへ感染が連鎖することが確認されており、攻撃者はこの併用によってSmokeLoaderのモジュール機能を使用して追加のマルウェアを動的に展開できる。この攻撃は、支払いが行われたことを確認したという内容のEメールによって始まる。Eメールには支払い手順らしき7zアーカイブファイルが添付されていて、このファイルを解凍すると偽装用のPDFファイルと、PDFのショートカットが表示される。ショートカットは、リモートサーバーからファイルをダウンロードするために使われ、このファイルがPowerShell経由でmshtaを実行し、Emmenhtalをダウンロードする。Emmenhtalは後にSmokeLoaderを展開するために使用される。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
インテリジェンスツール”Silobreaker”で見える世界
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイドランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
主なプレーヤーと被害組織データリークと被害者による身代金支払いハクティビストからランサムウェアアクターへ暗号化せずにデータを盗むアクターが増加初期アクセス獲得に脆弱性を悪用する事例が増加公に報告された情報、および被害者による情報開示のタイムラインランサムウェアのリークサイト – ダークウェブ上での犯行声明被害者による情報開示で使われる表現ランサムウェアに対する法的措置が世界中で増加サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
脅威プロファイルの確立ステークホルダーの特定・分析ユースケースの確立要件の定義と管理データの収集と処理分析と生産報告フィードバック実効性の評価
WACOCA: People, Life, Style.