攻撃キャンペーン「Dangerous Password」の最新手口を分析
JPCERTコーディネーションセンターは、日本をはじめ世界各国の金融機関を標的に攻撃を展開することで知られる「Dangerous Password」に関連し、最近観測された攻撃手法を明らかにした。
「Dangerous Password」は、少なくとも2019年6月ごろより活動が確認されている攻撃グループ。暗号資産(仮想通貨)交換事業者をはじめとする金融機関やフィンテック企業などを標的としており、別名「CryptoMimic」「SnatchCrypto」「CryptoCore」「LeeryTurtle」「CageyChameleon」などとも呼ばれている。
北朝鮮より支援を受けて活動する攻撃グループ「Lazarus」との関係も疑われているほか、2016年のバングラデシュ中央銀行に対する攻撃に関与したとされる攻撃グループ「BlueNoroff」との関わりなどもあると見られている。
従来よりメールで「ショートカットファイル」を送りつけ、マルウェアを感染させる手法を好んで使用してきたが、同センターにおいて最近あらたに観測された手口を取りまとめた。
従来よりビジネスSNSである「LinkedIn」の乗っ取りアカウントを用いて、求人関連の連絡と見せかけ標的に接触し、「ショートカットファイル」を送りつけてマルウェアへ感染させるソーシャルエンジニアリングを用いた攻撃が確認されているが、RAR形式で圧縮した「Windowsヘルプファイル(CHMファイル)」を悪用する手口があらたに観測された。
問題のファイルを誤って開くと、「MSIファイル」が実行されて「PowerShellスクリプト」が稼働。さらに別の「MSIファイル」が実行されて情報を窃取されるおそれがある。
(Security NEXT - 2023/05/08 )
ツイート
PR
関連記事
侵害受けたKDDIのISP向けメールシステム、ゼロデイ脆弱性が標的に
ピックルボール情報サイトに不正アクセス - プラグイン脆弱性を突かれる
私的にシステム閲覧、身内に個人情報を漏洩した職員を処分 - 各務原市
講演会参加希望者向けのメールで誤送信 - 妙高市
「WinRAR」に脆弱性、過去の問題に類似 - 修正版をリリース
「FortiOS」のLDAP認証バイパス脆弱性、仮想パッチが公開
「FortiOS」に複数脆弱性、SSL-VPNなど影響 - アップデートで修正
HTTP通信ライブラリ「Apache HttpComponents」に複数のDoS脆弱性
先週注目された記事(2026年6月28日〜2026年7月4日)
ウェブメール「Roundcube」、アップデートで複数脆弱性を修正

