攻撃キャンペーン「Dangerous Password」の最新手口を分析
JPCERTコーディネーションセンターは、日本をはじめ世界各国の金融機関を標的に攻撃を展開することで知られる「Dangerous Password」に関連し、最近観測された攻撃手法を明らかにした。
「Dangerous Password」は、少なくとも2019年6月ごろより活動が確認されている攻撃グループ。暗号資産(仮想通貨)交換事業者をはじめとする金融機関やフィンテック企業などを標的としており、別名「CryptoMimic」「SnatchCrypto」「CryptoCore」「LeeryTurtle」「CageyChameleon」などとも呼ばれている。
北朝鮮より支援を受けて活動する攻撃グループ「Lazarus」との関係も疑われているほか、2016年のバングラデシュ中央銀行に対する攻撃に関与したとされる攻撃グループ「BlueNoroff」との関わりなどもあると見られている。
従来よりメールで「ショートカットファイル」を送りつけ、マルウェアを感染させる手法を好んで使用してきたが、同センターにおいて最近あらたに観測された手口を取りまとめた。
従来よりビジネスSNSである「LinkedIn」の乗っ取りアカウントを用いて、求人関連の連絡と見せかけ標的に接触し、「ショートカットファイル」を送りつけてマルウェアへ感染させるソーシャルエンジニアリングを用いた攻撃が確認されているが、RAR形式で圧縮した「Windowsヘルプファイル(CHMファイル)」を悪用する手口があらたに観測された。
問題のファイルを誤って開くと、「MSIファイル」が実行されて「PowerShellスクリプト」が稼働。さらに別の「MSIファイル」が実行されて情報を窃取されるおそれがある。
(Security NEXT - 2023/05/08 )
ツイート
PR
関連記事
「PAN-OS」の認証回避脆弱性、詳細公開で悪用懸念高まる
HPのLinux向け印刷ソフトに深刻な脆弱性 - アップデートを呼びかけ
「Unbound」に深刻な脆弱性 - コード実行やキャッシュ汚染などのおそれ
PHP向けテンプレートエンジン「Twig」にRCE脆弱性
米当局、「Langflow」や「Apex One」の脆弱性悪用に注意喚起
県立高の授業見学申込フォームで個人情報が閲覧可能に - 群馬県
SNS公開のインタビュー動画に患者が映り込み - 大田記念病院
ランサム攻撃で障害発生、情報流出の可能性も - 東京鋪装工業
Android版「ロボフォーム」に脆弱性 - 意図しないファイルDLのおそれ
ふるさと納税寄付者の非公開氏名をサイトに誤掲載 - 八重瀬町
