攻撃キャンペーン「Dangerous Password」の最新手口を分析
JPCERTコーディネーションセンターは、日本をはじめ世界各国の金融機関を標的に攻撃を展開することで知られる「Dangerous Password」に関連し、最近観測された攻撃手法を明らかにした。
「Dangerous Password」は、少なくとも2019年6月ごろより活動が確認されている攻撃グループ。暗号資産(仮想通貨)交換事業者をはじめとする金融機関やフィンテック企業などを標的としており、別名「CryptoMimic」「SnatchCrypto」「CryptoCore」「LeeryTurtle」「CageyChameleon」などとも呼ばれている。
北朝鮮より支援を受けて活動する攻撃グループ「Lazarus」との関係も疑われているほか、2016年のバングラデシュ中央銀行に対する攻撃に関与したとされる攻撃グループ「BlueNoroff」との関わりなどもあると見られている。
従来よりメールで「ショートカットファイル」を送りつけ、マルウェアを感染させる手法を好んで使用してきたが、同センターにおいて最近あらたに観測された手口を取りまとめた。
従来よりビジネスSNSである「LinkedIn」の乗っ取りアカウントを用いて、求人関連の連絡と見せかけ標的に接触し、「ショートカットファイル」を送りつけてマルウェアへ感染させるソーシャルエンジニアリングを用いた攻撃が確認されているが、RAR形式で圧縮した「Windowsヘルプファイル(CHMファイル)」を悪用する手口があらたに観測された。
問題のファイルを誤って開くと、「MSIファイル」が実行されて「PowerShellスクリプト」が稼働。さらに別の「MSIファイル」が実行されて情報を窃取されるおそれがある。
(Security NEXT - 2023/05/08 )
ツイート
PR
関連記事
「無印良品」通販の顧客情報が流出か - 物流委託先がランサム被害
「Chrome」のスクリプトエンジンにゼロデイ脆弱性 - 修正版が公開
非常勤医師が自宅でサポート詐欺被害、内部に患者情報 - 和歌山の病院
メール誤送信で商談会出展事業者のメアド流出 - 大阪府
リサイクル着物の通販サイト、クレカ情報流出のおそれ
ランサム攻撃でシステム障害、情報流出の可能性 - 東海ソフト開発
メールアカウントがスパム踏み台に - 電気自動車の充電設備事業者
保健所のデータ受渡用USBが所在不明、管理記録に不備 - 沖縄県
Appleの動画エンコーダ「Compressor」に脆弱性 - アップデートで修正
Zoho製アプリ監視ツールにコマンド検証回避の脆弱性 - アップデートで修正
