innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

隠蔽技術利用のサイバー攻撃、ラテンアメリカを中心に拡大

隠蔽技術利用のサイバー攻撃、ラテンアメリカを中心に拡大 - innovaTopia - (イノベトピア)

Last Updated on 2024-07-05 05:23 by admin

ロシアのサイバーセキュリティ企業Positive Technologiesは、TA558として追跡されている脅威アクターが、Agent Tesla、FormBook、Remcos RAT、LokiBot、GuLoader、Snake Keylogger、XWormなどの様々なマルウェアを配信するためにステガノグラフィーを利用していると報告した。このグループは、画像やテキストファイル内にVBS、PowerShellコード、埋め込まれたエクスプロイトを含むRTFドキュメントを送信することで、広範囲にわたる攻撃にステガノグラフィーを広く使用している。攻撃キャンペーンはSteganoAmorと名付けられ、主にラテンアメリカの産業、サービス、公共、電力、建設セクターを標的としているが、ロシア、ルーマニア、トルコに位置する企業も攻撃の対象となっている。

さらに、TA558はスペイン、メキシコ、アメリカ合衆国、コロンビア、ポルトガル、ブラジル、ドミニカ共和国、アルゼンチンに位置する企業を狙ったフィッシング攻撃を通じてVenom RATを展開していることが確認された。攻撃は、セキュリティの欠陥(CVE-2017-11882)を悪用するMicrosoft Excelの添付ファイルを含むフィッシングメールから始まり、最終的にAgent Teslaマルウェアを実行するBase64エンコードされたコンポーネントを含む2つの画像をダウンロードする。フィッシングメールは、メッセージがメールゲートウェイによってブロックされる可能性を最小限に抑えるために、正規だが侵害されたSMTPサーバーから送信される。また、TA558は盗まれたデータをステージングするために感染したFTPサーバーを使用している。

この開示は、ロシア、ベラルーシ、カザフスタン、ウズベキスタン、キルギスタン、タジキスタン、アルメニアの政府機関を標的としたフィッシング攻撃の一連の中で行われ、Google Chromeから資格情報を収集するためのマルウェアであるLazyStealerが使用されている。Positive Technologiesは、盗まれたデータを受け取るTelegramボットを制御するとされるユーザー(joekoala)の名前にちなんで、この活動クラスターをLazy Koalaとして追跡している。

【ニュース解説】

ロシアのサイバーセキュリティ企業であるPositive Technologiesが報告したところによると、TA558として知られる脅威アクターが、ステガノグラフィーという隠蔽技術を利用して、Agent TeslaやFormBook、Remcos RAT、LokiBot、GuLoader、Snake Keylogger、XWormなどの様々なマルウェアを配信するための攻撃を行っています。ステガノグラフィーは、画像やテキストファイルなどにデータを隠蔽する技術であり、このグループはVBS(Visual Basic Script)、PowerShellコード、RTFドキュメントに埋め込まれたエクスプロイトを画像やテキストファイル内に隠して送信することで、攻撃を行っています。この攻撃キャンペーンは「SteganoAmor」と名付けられ、主にラテンアメリカの産業、サービス、公共、電力、建設セクターを標的にしていますが、ロシア、ルーマニア、トルコに位置する企業も攻撃の対象となっています。

さらに、TA558はフィッシング攻撃を通じてVenom RATを展開しており、これらの攻撃は主にスペイン、メキシコ、アメリカ合衆国、コロンビア、ポルトガル、ブラジル、ドミニカ共和国、アルゼンチンに位置する企業を標的にしています。攻撃の手法としては、セキュリティの欠陥(CVE-2017-11882)を悪用するMicrosoft Excelの添付ファイルを含むフィッシングメールから始まり、最終的にはAgent Teslaマルウェアを実行するためのBase64エンコードされたコンポーネントを含む2つの画像をダウンロードします。

このような攻撃は、メールゲートウェイによってブロックされる可能性を最小限に抑えるために、正規だが侵害されたSMTPサーバーから送信されるフィッシングメールを利用しています。また、TA558は盗まれたデータをステージングするために感染したFTPサーバーを使用していることも明らかにされています。

この報告は、ロシア、ベラルーシ、カザフスタン、ウズベキスタン、キルギスタン、タジキスタン、アルメニアの政府機関を標的としたフィッシング攻撃の一連の中で行われたもので、Google Chromeから資格情報を収集するマルウェアであるLazyStealerが使用されています。この活動クラスターは、盗まれたデータを受け取るTelegramボットを制御するとされるユーザー(joekoala)の名前にちなんで、Lazy Koalaとして追跡されています。

このような攻撃は、企業や組織にとって重大なセキュリティリスクをもたらします。ステガノグラフィーを利用した攻撃は、従来のセキュリティ対策を回避することが可能であり、検出が困難です。そのため、企業や組織は、従業員へのセキュリティ教育を強化し、フィッシングメールに対する警戒を促すとともに、定期的なセキュリティチェックとアップデートを行うことが重要です。また、この報告は、サイバーセキュリティの分野での継続的な監視と研究の重要性を示しており、新たな脅威に迅速に対応するための情報共有と協力が不可欠であることを強調しています。

from TA558 Hackers Weaponize Images for Wide-Scale Malware Attacks.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 隠蔽技術利用のサイバー攻撃、ラテンアメリカを中心に拡大

Latest News