2023Q2 国家が関係している攻撃等

2023Q2 国家が関係している攻撃等（北朝鮮やロシア、米国等）のトピックを載せています。いずれ纏めるためのネタ帳の役目でもあります。

2023Q1 国家が関係している攻撃等へのリンクはこちら

2022Q4 国家が関係している攻撃等へのリンクはこちら

2023/06/27

北朝鮮が支援するAPT37が情報窃取マルウェア「FadeStealer」を使用して盗聴を行う

• bleepingcomputerより
• 北朝鮮の APT37 ハッキング グループは、「盗聴」機能を備えた新しい情報窃取マルウェア「FadeStealer」を使用し、攻撃者が被害者のマイクを盗み見して録音できるようにしています。
• IoCがbleepingcomputerの記事に載っていますので参考にしてください。

中国が支援するAPT15が「Graphican」マルウェアを使用

• bleepingcomputerより
• 中国が背後にいるとされている脅威アクター「APT15」が新たに「Graphican」と呼ばれるバックドア型のマルウェアを使用していることがわかりました。
• Graphicanマルウェアに関するIoC等はbleepingcomputerの記事に載っていますので参考にしてください。

2023/06/21

ロシアのAPT28がウクライナ政府のメールサーバを攻撃

• bleepingcomputerより
• APT28が、政府機関を含む複数のウクライナ組織に属するRoundcube電子メールサーバーに侵入したそうです。
• 詳しい情報はCERT-UAにも載っていますので参考にしてください。(CVE-2020-35730, CVE-2021-44026, CVE-2020-12641)を悪用したようです。

Rhysidaランサムウェアがチリの軍隊から盗み出した情報が公開される

• bleepingcomputerより
• 最近表面化した「Rhysida」として知られるランサムウェア作戦の背後にいる攻撃者が、チリ軍 (Ejército de Chile) のネットワークから盗んだ文書であると主張する文書をオンラインに漏洩しました。
• 攻撃が明らかにされてから数日後、地元メディアは、 陸軍伍長がランサムウェア攻撃への関与で逮捕、起訴されたと報じています。

Microsoftがデータ消去攻撃をロシアの新たなGRUハッキンググループと結び付ける

• bleepingcomputerより
• MicrosoftがCadet BlizzardをGRUが背後に居るグループとして結びつけました。
• Microsoftの記事はこちらになります。
• Microsoftがアクティビティを観測して書いていますので、ぜひ参考にしてください。

2023/06/12

ウクライナのハッカーがロシア銀行のサービスプロバイダに攻撃をかける

• bleepingcomputerより
• Cyber​​.Anarchy.Squadとして知られるウクライナのハッカー集団が先週、ロシアの通信プロバイダーInfotel JSCを攻撃したと主張しているそうです。
• Infotelはモスクワに拠点を置き、ロシア中央銀行と他のロシアの銀行やオンラインストア、信用機関との接続サービスを提供しています。
• ウクライナの経済紙「プラウダ」にもニュースが載っているようです。
• ウクライナのハクティビストらは、テレグラムのチャンネルで「すべてのインフラが破壊され、そこには生きているものは何も残されていなかった」と述べている様です。

2023/05/31

LazarusグループがIISを標的に活動

• AhnLabのブログより
• AhnLab Security Emergency Response Center (ASEC) は最近、国家規模でサポートを受けていることで知られる Lazarus グループが Windows IIS Web サーバーに対して攻撃を実行していることを確認しました。
• IoC/TTPなどはAhnLabのサイトに載っています。

中国が米国の重要インフラへのステルス攻撃を行う（Volt Typhoon）

• Microsoftのブログより
• CSAのPDFはこちら
• Microsoft は、米国の重要インフラ組織を狙った、侵害後の認証情報へのアクセスとネットワーク システムの検出に焦点を当てた、ステルスで標的を絞った悪意のある活動を発見しました。 この攻撃は、中国に本拠を置き、通常はスパイ活動と情報収集に重点を置く国家支援団体、ボルト・タイフーンによって実行された。 マイクロソフトは、このボルト タイフーン キャンペーンが、将来の危機の際に米国とアジア地域の間の重要な通信インフラを混乱させる可能性のある能力の開発を追求していると、ある程度の自信を持って評価しています。
• 米国家安全保障局 (NSA)、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA)、米国連邦捜査局 (FBI)、オーストラリア信号総局のオーストラリアサイバーセキュリティセンター (ACSC)、通信セキュリティ施設の カナダ サイバー セキュリティ センター (CCCS)、ニュージーランド国立サイバー セキュリティ センター (NCSC-NZ)、および英国国立サイバー セキュリティ センター (NCSC-UK)が共同で勧告を出しています。
• TTPなど詳しくは、CSAのPDFを参照してください。

米国、北朝鮮のハッカー集団を支援する組織に制裁

• bleepingcomputerより
• 財務省外国資産管理局（OFAC）は、違法なIT労働者計画やサイバー攻撃に関与し、北朝鮮の兵器開発プログラムの資金源として収益を上げていたとして、4つの団体と1人の個人に対する制裁を発表しました。
• これには、有名なLazarusグループに結びつく、RGB の技術偵察局と 110 番研究センターのサイバー部隊が含まれています。

イランのハッカーが新たなMoneybirdランサムウェアを用いてイスラエルを攻撃

• bleepingcomputerより
• CheckPointのレポートはこちら
• 「Agrius」として知られるイラン国家支援の脅威アクターとみられる人物が、現在イスラエル組織に対して「Moneybird」という新たなランサムウェアを展開しています。
• アグリウスは少なくとも2021年以来、複数の別名でイスラエルと中東地域の組織を積極的に標的にし、 破壊的な攻撃でデータワイパーを展開しています。
• MoneybirdランサムウェアのIoC/TTPなどはCheckpointのレポートに載っていますので参考にしてください。

2023/05/15

FBIがロシアのSnakeデータ盗難マルウェアを自爆コマンドで破壊

• bleepingcomputerより
• ファイブ・アイズ加盟国すべてのサイバーセキュリティおよび諜報機関は、ロシア連邦保安局（FSB）が運営するサイバースパイマルウェア「スネーク」が使用するインフラを停止しました。

2023/05/05

北朝鮮が背後に居るAPT「Kimsuky」が「ReconShark」マルウェアを使用したキャンペーンを展開中

• SentinelLabsのレポートより
• SentinelLabsが、アジア・北米・ヨーロッパと幅広い組織を標的にしてきたAPT「Kimsuky」（北朝鮮が支援していると思われる） からの攻撃が進行中であることを確認しています。
• 進行中のキャンペーンでは、ReconShark と呼ばれる新しいマルウェア コンポーネントが使用されます。これは、スピア フィッシング メール、ドキュメントのダウンロードにつながる OneDrive リンク、および悪意のあるマクロの実行を通じて、特定の標的にされた個人に積極的に配信されます。
• 最近では、「北朝鮮の核施設について」等のような興味を引くドキュメントを添付してマルウェアに感染させています。
• TTP/IoC情報はSentinelLabsのサイトにありますので確認してみてください。

世界的な盗難クレジットカードチェックサイト「Try2Check」が解体。国務省は、ロシア在住のクルコフの逮捕につながる情報に対して 1,000 万ドルの報奨金を支払うことを発表。

• 米国国務省のページより
• 米国司法省のニュースはこちら
• Try2Check は、盗まれたクレジット カード番号の有効性を単独または一括で迅速に判断する機能をユーザーに提供します。 ユーザーは、一度に何千ものカード番号をアップロードして、どの番号が有効であるかのレポートをすぐに受け取ることができます。Try2Checkはサイバー犯罪でも有名で人気のあるクレジット カード チェック サービスです。
• 2023/05/03に、米国政府はドイツとオーストリアのパートナーと協力して Try2Check の Web サイトをオフラインにし、被告の犯罪ネットワークを解体しました。
• 国務省は、ロシア在住のクルコフの逮捕につながる情報に対して 1,000 万ドルの報奨金を支払うことを発表しています。

2023/05/01

APT28 (別名 Fancy Bear) が偽のWindows Updateを装うメールを流す

• bleepingcomputerより
• ウクライナのCERT-UA は、ロシア政府が支援するハッキング グループ APT28 (別名 Fancy Bear) が偽のWindows Updateを行う様に支持する電子メールを送信していたと報告しています。
• このメールでは、正規のWindows Updateの代わりに、PowerShell コマンドを実行するよう受信者に勧めています。このPowerShellコマンドは、Windows の更新プロセスをシミュレートしながら、情報収集する別のプログラムをダウンロードします。

2023/04/25

2023年のロシアのフィッシング攻撃の対象がウクライナ

• bleepingcomputerより
• Google TAGのレポートによると、2023 年 1 月から 3 月にかけて、ウクライナはロシアから発信されたフィッシング攻撃の約 60% を受け取っている様です。
• キャンペーンの目的は、情報収集、運用の混乱、Telegram チャネルを介した機密データの漏えい等の様です。

Lazarusグループが偽のJob Offerを用いて攻撃を行う

• ESETのブログより
• ESET の研究者が、Linuxユーザーをターゲットにした新しい”Lazarus Operation DreamJob”キャンペーンを発見しました。
• ”Operation DreamJob”は、グループがソーシャル エンジニアリング手法を使用してターゲットを侵害し、偽の求人情報をおびき寄せる一連のキャンペーンの名前です。Lazarus グループの Operation DreamJob には、LinkedIn を通じてターゲットにアプローチしターゲットにマルウェアを感染させるZIPファイル（HSBC job offer.pdf.zip）などを開かせます。これは2019年から続いている「Operation Interception」と同様のものです。
• 先月発覚した3CXサプライチェーン攻撃とも関連付けられている様です。

NCSC（UK）が注意喚起。親ロシア派の新たなサイバー攻撃クラスが出現

• NSCS(UK)のサイトより
• National Cyber Security Center(NCSC)が、「過去18ヶ月の攻撃から、親ロシア派の新たなサイバー攻撃クラスが誕生している模様だ」と注意喚起を行っています。
• これらのハクティビストグループは、通常、DDoS攻撃を空港や 、 議会 、 政府のサイトなどの重要インフラに対して行っています。
• NCSCは脅威に対抗するための組織対応を含んだ「ガイダンス」を公開しました。
• こちらのガイダンスは参考になるため、ぜひ目を通してください。

APT28がCiscoルータ用のマルウェア”Jaguar Tooth”を拡散しているとUS/UK/Ciscoが注意喚起

• bleepingcomputerより
• UKのレポートはこちら
• APT28（ロシアが背後にいるらしい脅威アクター）がCisco iOS用のマルウェア”Jaguar Tooth”を拡散しているとして、US/UK/Ciscoが注意喚起を行っています。
• マルウェアはSNMPの脆弱性であるCVE-2017-6742を悪用しているとのことです。
• 詳しい記事はbleepingcomputerをご確認ください。また、IoCはUKのレポートに詳しく載っています。

2023/04/18

APT41がGoogle Command Control（GC2）を悪用して台湾のメディアを攻撃

• bleepingcomputerより
• GoogleのThreat Horizons Reportはこちら
• HOODOO としても知られる APT41 は、米国・アジア・ヨーロッパの幅広い業界を標的とすることで知られる、中国政府が支援する脅威グループです。
• Google の 2023年4月のThreat Horizo​​ns Reportによると、APT41が攻撃でGC2ツールを悪用していたことが明らかになりました。

2023/04/17

中国がスパイのためにAndroidの脆弱性(CVE-2023-20963)を利用していたとCISAが警告

• bleepingcomputerより
• arstechnicaのサイトはこちら
• Pinduoduoという中国のeコマース企業によって署名されたアプリがAndroidのゼロデイ脆弱性をもちいてスパイ活動を行っていたのではないかという疑惑です。
• 詳しい内容はarstechnicaのサイトに載っています。

2023/04/16

ロシアが2022年以降5,000回のサイバー攻撃を行ったとしてNATOを非難

• bleepingcomputerより
• ロシア連邦の連邦保安局 (FSB) は、米国およびその他の NATO 諸国が 2022 年初頭以来、同国の重要なインフラストラクチャに対して 5,000 件を超えるサイバー攻撃を開始したと非難しているそうです。
• FSBによると「特定されたコンピューターの脅威の分析では、ロシアの民用物に対する大規模なコンピューター攻撃を行うために、米国とNATO諸国によるウクライナ領土の使用を示すデータが取得された」との事です。
• 一方、Rostelecom の CERT チームは、2022 年 3 月から 2023 年 3 月の間にロシアのインフラストラクチャを標的としたサイバー攻撃に関するレポートを公開し、中国のAPTによる攻撃が多かったとの分析結果を出しています。

2023/04/14

ペンタゴンが先の情報漏えいについて記者会見を開く

• DoDの記事より
• DoDが先の情報漏えいについて記者会見を開いています。日本のメディアではあまり扱われていませんがかなり大きな問題となっており、海外のメディアでも連日報道がなされています。
• 詳しくは記者会見の記事を観てください。

ロシアが背後にいる脅威グループAPT29（NOBELIUM）のスパイ活動についてポーランドが警告

• bleepingcomputerより
• ポーランドのCERTはこちら
• ポーランドのCERTが、APT29(ロシア政府の対外情報サービス (SVR) が支援する脅威グループ)を、NATO および EU 諸国を標的とした広範な攻撃に関連付けました。
• 攻撃者は、悪意のある Web サイトへのリンクまたは ISO、IMG、および ZIP ファイルを介してマルウェアを展開するように設計された添付ファイルを含む、ヨーロッパ諸国の大使館になりすましたスピア フィッシング メールを使用して、外交官を標的にしています。
• APT29は3年前のSolarWindsの事件にも関連しています。
• IoC等がポーランドのCERTに公開されていますので確認しましょう。

2023/04/13

北朝鮮が背後にいるLazarusグループのDeathNoteキャンペーン

• Kasperskyのブログより
• Kasperskyによって”DeathNote”と名付けられたキャンペーンについての説明です。これは、追加のペイロードをダウンロードするマルウェアの名前が Dn.dll または Dn64.dll であるため、DeathNote と名付けたとのことです。
• DeathNoteクラスタは2019年から現在に至るまで攻撃を続けています。現在は防衛産業に標的を絞って攻撃を行っている様です。
• IoC等が載っていますので、詳しくはKasperskyのブログを見てください。

2023/04/12

VOIP会社3CXが北朝鮮のハッキンググループ(UNC4736)による攻撃を公表

• bleepingcomputerより
• VoIP 通信会社 3CX は04/11/2023に、北朝鮮のハッキング グループが先月のサプライ チェーン攻撃の背後にいたことをMandiantの調査により確認しました。

CISAがNATO 諸国に対する攻撃で悪用されたZimbra の脆弱性(CVE-2022-27926)について警告

• bleepingcomputerより
• ProofPointの記事はこちら
• CISAのブログはこちら
• TA473（別名Winter Vivern）というロシアが背後にいる脅威アクターが、2023 年 2 月以降、パッチが適用されていない Zimbra エンドポイントの脆弱性(CVE-2022-27926)を積極的に悪用して、NATO 当局者、政府、軍関係者、および外交官の電子メールを盗み出しています。
• ProofPointの記事にIoC等の詳しい情報が載っています。
• CISAが本件に関しての警告を出しています。詳しくはCISAのサイトを確認してください。