2023Q2 国家が関係している攻撃等

2023Q2 国家が関係している攻撃等（北朝鮮やロシア、米国等）のトピックを載せています。いずれ纏めるためのネタ帳の役目でもあります。

2023Q1 国家が関係している攻撃等へのリンクはこちら

2022Q4 国家が関係している攻撃等へのリンクはこちら

2023/05/05

北朝鮮が背後に居るAPT「Kimsuky」が「ReconShark」マルウェアを使用したキャンペーンを展開中

• SentinelLabsのレポートより
• SentinelLabsが、アジア・北米・ヨーロッパと幅広い組織を標的にしてきたAPT「Kimsuky」（北朝鮮が支援していると思われる） からの攻撃が進行中であることを確認しています。
• 進行中のキャンペーンでは、ReconShark と呼ばれる新しいマルウェア コンポーネントが使用されます。これは、スピア フィッシング メール、ドキュメントのダウンロードにつながる OneDrive リンク、および悪意のあるマクロの実行を通じて、特定の標的にされた個人に積極的に配信されます。
• 最近では、「北朝鮮の核施設について」等のような興味を引くドキュメントを添付してマルウェアに感染させています。
• TTP/IoC情報はSentinelLabsのサイトにありますので確認してみてください。

世界的な盗難クレジットカードチェックサイト「Try2Check」が解体。国務省は、ロシア在住のクルコフの逮捕につながる情報に対して 1,000 万ドルの報奨金を支払うことを発表。

• 米国国務省のページより
• 米国司法省のニュースはこちら
• Try2Check は、盗まれたクレジット カード番号の有効性を単独または一括で迅速に判断する機能をユーザーに提供します。 ユーザーは、一度に何千ものカード番号をアップロードして、どの番号が有効であるかのレポートをすぐに受け取ることができます。Try2Checkはサイバー犯罪でも有名で人気のあるクレジット カード チェック サービスです。
• 2023/05/03に、米国政府はドイツとオーストリアのパートナーと協力して Try2Check の Web サイトをオフラインにし、被告の犯罪ネットワークを解体しました。
• 国務省は、ロシア在住のクルコフの逮捕につながる情報に対して 1,000 万ドルの報奨金を支払うことを発表しています。

2023/05/01

APT28 (別名 Fancy Bear) が偽のWindows Updateを装うメールを流す

• bleepingcomputerより
• ウクライナのCERT-UA は、ロシア政府が支援するハッキング グループ APT28 (別名 Fancy Bear) が偽のWindows Updateを行う様に支持する電子メールを送信していたと報告しています。
• このメールでは、正規のWindows Updateの代わりに、PowerShell コマンドを実行するよう受信者に勧めています。このPowerShellコマンドは、Windows の更新プロセスをシミュレートしながら、情報収集する別のプログラムをダウンロードします。

2023/04/25

2023年のロシアのフィッシング攻撃の対象がウクライナ

• bleepingcomputerより
• Google TAGのレポートによると、2023 年 1 月から 3 月にかけて、ウクライナはロシアから発信されたフィッシング攻撃の約 60% を受け取っている様です。
• キャンペーンの目的は、情報収集、運用の混乱、Telegram チャネルを介した機密データの漏えい等の様です。

Lazarusグループが偽のJob Offerを用いて攻撃を行う

• ESETのブログより
• ESET の研究者が、Linuxユーザーをターゲットにした新しい”Lazarus Operation DreamJob”キャンペーンを発見しました。
• ”Operation DreamJob”は、グループがソーシャル エンジニアリング手法を使用してターゲットを侵害し、偽の求人情報をおびき寄せる一連のキャンペーンの名前です。Lazarus グループの Operation DreamJob には、LinkedIn を通じてターゲットにアプローチしターゲットにマルウェアを感染させるZIPファイル（HSBC job offer.pdf.zip）などを開かせます。これは2019年から続いている「Operation Interception」と同様のものです。
• 先月発覚した3CXサプライチェーン攻撃とも関連付けられている様です。

NCSC（UK）が注意喚起。親ロシア派の新たなサイバー攻撃クラスが出現

• NSCS(UK)のサイトより
• National Cyber Security Center(NCSC)が、「過去18ヶ月の攻撃から、親ロシア派の新たなサイバー攻撃クラスが誕生している模様だ」と注意喚起を行っています。
• これらのハクティビストグループは、通常、DDoS攻撃を空港や 、 議会 、 政府のサイトなどの重要インフラに対して行っています。
• NCSCは脅威に対抗するための組織対応を含んだ「ガイダンス」を公開しました。
• こちらのガイダンスは参考になるため、ぜひ目を通してください。

APT28がCiscoルータ用のマルウェア”Jaguar Tooth”を拡散しているとUS/UK/Ciscoが注意喚起

• bleepingcomputerより
• UKのレポートはこちら
• APT28（ロシアが背後にいるらしい脅威アクター）がCisco iOS用のマルウェア”Jaguar Tooth”を拡散しているとして、US/UK/Ciscoが注意喚起を行っています。
• マルウェアはSNMPの脆弱性であるCVE-2017-6742を悪用しているとのことです。
• 詳しい記事はbleepingcomputerをご確認ください。また、IoCはUKのレポートに詳しく載っています。

2023/04/18

APT41がGoogle Command Control（GC2）を悪用して台湾のメディアを攻撃

• bleepingcomputerより
• GoogleのThreat Horizons Reportはこちら
• HOODOO としても知られる APT41 は、米国・アジア・ヨーロッパの幅広い業界を標的とすることで知られる、中国政府が支援する脅威グループです。
• Google の 2023年4月のThreat Horizo​​ns Reportによると、APT41が攻撃でGC2ツールを悪用していたことが明らかになりました。

2023/04/17

中国がスパイのためにAndroidの脆弱性(CVE-2023-20963)を利用していたとCISAが警告

• bleepingcomputerより
• arstechnicaのサイトはこちら
• Pinduoduoという中国のeコマース企業によって署名されたアプリがAndroidのゼロデイ脆弱性をもちいてスパイ活動を行っていたのではないかという疑惑です。
• 詳しい内容はarstechnicaのサイトに載っています。

2023/04/16

ロシアが2022年以降5,000回のサイバー攻撃を行ったとしてNATOを非難

• bleepingcomputerより
• ロシア連邦の連邦保安局 (FSB) は、米国およびその他の NATO 諸国が 2022 年初頭以来、同国の重要なインフラストラクチャに対して 5,000 件を超えるサイバー攻撃を開始したと非難しているそうです。
• FSBによると「特定されたコンピューターの脅威の分析では、ロシアの民用物に対する大規模なコンピューター攻撃を行うために、米国とNATO諸国によるウクライナ領土の使用を示すデータが取得された」との事です。
• 一方、Rostelecom の CERT チームは、2022 年 3 月から 2023 年 3 月の間にロシアのインフラストラクチャを標的としたサイバー攻撃に関するレポートを公開し、中国のAPTによる攻撃が多かったとの分析結果を出しています。

2023/04/14

ペンタゴンが先の情報漏えいについて記者会見を開く

• DoDの記事より
• DoDが先の情報漏えいについて記者会見を開いています。日本のメディアではあまり扱われていませんがかなり大きな問題となっており、海外のメディアでも連日報道がなされています。
• 詳しくは記者会見の記事を観てください。

ロシアが背後にいる脅威グループAPT29（NOBELIUM）のスパイ活動についてポーランドが警告

• bleepingcomputerより
• ポーランドのCERTはこちら
• ポーランドのCERTが、APT29(ロシア政府の対外情報サービス (SVR) が支援する脅威グループ)を、NATO および EU 諸国を標的とした広範な攻撃に関連付けました。
• 攻撃者は、悪意のある Web サイトへのリンクまたは ISO、IMG、および ZIP ファイルを介してマルウェアを展開するように設計された添付ファイルを含む、ヨーロッパ諸国の大使館になりすましたスピア フィッシング メールを使用して、外交官を標的にしています。
• APT29は3年前のSolarWindsの事件にも関連しています。
• IoC等がポーランドのCERTに公開されていますので確認しましょう。

2023/04/13

北朝鮮が背後にいるLazarusグループのDeathNoteキャンペーン

• Kasperskyのブログより
• Kasperskyによって”DeathNote”と名付けられたキャンペーンについての説明です。これは、追加のペイロードをダウンロードするマルウェアの名前が Dn.dll または Dn64.dll であるため、DeathNote と名付けたとのことです。
• DeathNoteクラスタは2019年から現在に至るまで攻撃を続けています。現在は防衛産業に標的を絞って攻撃を行っている様です。
• IoC等が載っていますので、詳しくはKasperskyのブログを見てください。

2023/04/12

VOIP会社3CXが北朝鮮のハッキンググループ(UNC4736)による攻撃を公表

• bleepingcomputerより
• VoIP 通信会社 3CX は04/11/2023に、北朝鮮のハッキング グループが先月のサプライ チェーン攻撃の背後にいたことをMandiantの調査により確認しました。

CISAがNATO 諸国に対する攻撃で悪用されたZimbra の脆弱性(CVE-2022-27926)について警告

• bleepingcomputerより
• ProofPointの記事はこちら
• CISAのブログはこちら
• TA473（別名Winter Vivern）というロシアが背後にいる脅威アクターが、2023 年 2 月以降、パッチが適用されていない Zimbra エンドポイントの脆弱性(CVE-2022-27926)を積極的に悪用して、NATO 当局者、政府、軍関係者、および外交官の電子メールを盗み出しています。
• ProofPointの記事にIoC等の詳しい情報が載っています。
• CISAが本件に関しての警告を出しています。詳しくはCISAのサイトを確認してください。