Last Updated on 2024-07-02 09:44 by admin

情報窃盗マルウェア「Rhadamanthys」の更新版が、石油・ガス業界を狙ったフィッシングキャンペーンで使用されている。このフィッシングメールは、独特の車両事故を餌に使い、感染チェーンの後段で、連邦運輸局を装ったPDFを用いて重大な罰金を示唆する。メールには、オープンリダイレクトの脆弱性を利用して受信者を悪意のあるリンクへ誘導する添付リンクが含まれており、実際にはZIPアーカイブのダウンロードを促す画像が表示される。RhadamanthysはC++で書かれ、コマンド＆コントロールサーバーとの接続を確立し、侵害されたホストから機密データを収集するよう設計されている。

このキャンペーンは、LockBitランサムウェアグループの法執行機関による摘発の数日後に現れた。Trend Microは2023年8月、Rhadamanthysの変種が漏洩したLockBitペイロードとクリッパーマルウェア、暗号通貨マイナーと一緒にバンドルされていることを明らかにした。脅威アクターは、情報窃盗とLockBitランサムウェアの変種を一つのRhadamanthysバンドルに追加し、マルウェアの進化を示唆している。

また、Sync-SchedulerやMighty Stealerなどの新しいスティーラーマルウェアファミリーが登場し、StrelaStealerなどの既存の種類が改良された難読化や解析防止技術を備えて進化している。インドネシアを狙ったmalspamキャンペーンが登場し、Agent Teslaマルウェアを用いてログイン情報、財務データ、個人文書などの機密情報を盗むことが確認された。Agent Teslaフィッシングキャンペーンは、2023年11月にオーストラリアと米国を標的にしており、Bignosa（別名Nosakhare GodsonとAndrei Ivan）とGods（別名GODINHOまたはKmarshalまたはKingsley Fredrick）として追跡されている2人のアフリカ出身の脅威アクターによって運営されているとCheck Pointが報告している。

【ニュース解説】

石油・ガス業界を狙った新たなフィッシングキャンペーンが発覚しました。このキャンペーンでは、情報窃盗マルウェア「Rhadamanthys」の更新版が使用されています。フィッシングメールは、車両事故を装った内容で、受信者を騙して悪意のあるリンクをクリックさせる手法を取っています。このリンクは、オープンリダイレクトの脆弱性を利用して、実際にはZIPアーカイブをダウンロードさせる画像へと誘導します。Rhadamanthysマルウェアは、侵害されたホストから機密データを収集するために、コマンド＆コントロールサーバーとの接続を確立します。

このキャンペーンは、LockBitランサムウェアグループの法執行機関による摘発の直後に現れたことが注目されます。これは、マルウェアの進化と、サイバー犯罪者間の連携の可能性を示唆しています。特に、Rhadamanthysの変種がLockBitペイロードと組み合わされていることが明らかにされており、情報窃盗とランサムウェア攻撃の両方を可能にする複合的な脅威が生まれています。

このような脅威の進化は、サイバーセキュリティの分野において新たな課題を生み出しています。特に、スティーラーマルウェアのファミリーが増加し、既存のマルウェアが難読化や解析防止技術を用いて進化していることは、防御側にとって大きな挑戦です。また、Agent Teslaマルウェアを用いたフィッシングキャンペーンが世界各地で確認されており、機密情報の窃盗が継続していることが示されています。

このような状況は、企業や個人にとって、セキュリティ対策の重要性を改めて認識する機会となります。特に、フィッシングメールに対する警戒心を持ち、不審なリンクや添付ファイルの開封を避けることが重要です。また、セキュリティソフトウェアの更新や、従業員へのサイバーセキュリティ教育の強化も、攻撃を防ぐための有効な手段となります。

長期的には、サイバー犯罪の手法が進化し続ける中で、セキュリティ技術の進化と、国際的な協力による犯罪対策の強化が求められます。サイバーセキュリティは、単一の組織や国だけの問題ではなく、全世界が直面する共通の課題であることを認識し、対策を講じることが重要です。

from New Phishing Campaign Targets Oil & Gas with Evolved Data-Stealing Malware.

admin

See Full Bio