攻撃キャンペーン「Dangerous Password」の最新手口を分析
JPCERTコーディネーションセンターは、日本をはじめ世界各国の金融機関を標的に攻撃を展開することで知られる「Dangerous Password」に関連し、最近観測された攻撃手法を明らかにした。
「Dangerous Password」は、少なくとも2019年6月ごろより活動が確認されている攻撃グループ。暗号資産(仮想通貨)交換事業者をはじめとする金融機関やフィンテック企業などを標的としており、別名「CryptoMimic」「SnatchCrypto」「CryptoCore」「LeeryTurtle」「CageyChameleon」などとも呼ばれている。
北朝鮮より支援を受けて活動する攻撃グループ「Lazarus」との関係も疑われているほか、2016年のバングラデシュ中央銀行に対する攻撃に関与したとされる攻撃グループ「BlueNoroff」との関わりなどもあると見られている。
従来よりメールで「ショートカットファイル」を送りつけ、マルウェアを感染させる手法を好んで使用してきたが、同センターにおいて最近あらたに観測された手口を取りまとめた。
従来よりビジネスSNSである「LinkedIn」の乗っ取りアカウントを用いて、求人関連の連絡と見せかけ標的に接触し、「ショートカットファイル」を送りつけてマルウェアへ感染させるソーシャルエンジニアリングを用いた攻撃が確認されているが、RAR形式で圧縮した「Windowsヘルプファイル(CHMファイル)」を悪用する手口があらたに観測された。
問題のファイルを誤って開くと、「MSIファイル」が実行されて「PowerShellスクリプト」が稼働。さらに別の「MSIファイル」が実行されて情報を窃取されるおそれがある。
(Security NEXT - 2023/05/08 )
ツイート
PR
関連記事
講座受講者宛のメールで「CC」送信 - 八代市
個人情報含む手帳を紛失、3月にも - 室蘭総合病院
「Apache Tomcat」に脆弱性 - 過去の修正が不完全で
LINE公式アカウントで非公開のクーポンが表示される不具合
Zyxel製機器の脆弱性、積極的な悪用も - あらたな脆弱性も判明
WP向け人気プラグイン「Jetpack」に深刻な脆弱性 - 早急に更新を
チャリティランナー宛のメールで誤送信 - 国際協力NGO
読者の提供情報を記者が家族に漏洩 - 神奈川新聞
「エムアイカード」装うフィッシングの報告が増加
住民票などの文書を別事業所へ誤送付 - 全国土木建築国保
