攻撃キャンペーン「Dangerous Password」の最新手口を分析
JPCERTコーディネーションセンターは、日本をはじめ世界各国の金融機関を標的に攻撃を展開することで知られる「Dangerous Password」に関連し、最近観測された攻撃手法を明らかにした。
「Dangerous Password」は、少なくとも2019年6月ごろより活動が確認されている攻撃グループ。暗号資産(仮想通貨)交換事業者をはじめとする金融機関やフィンテック企業などを標的としており、別名「CryptoMimic」「SnatchCrypto」「CryptoCore」「LeeryTurtle」「CageyChameleon」などとも呼ばれている。
北朝鮮より支援を受けて活動する攻撃グループ「Lazarus」との関係も疑われているほか、2016年のバングラデシュ中央銀行に対する攻撃に関与したとされる攻撃グループ「BlueNoroff」との関わりなどもあると見られている。
従来よりメールで「ショートカットファイル」を送りつけ、マルウェアを感染させる手法を好んで使用してきたが、同センターにおいて最近あらたに観測された手口を取りまとめた。
従来よりビジネスSNSである「LinkedIn」の乗っ取りアカウントを用いて、求人関連の連絡と見せかけ標的に接触し、「ショートカットファイル」を送りつけてマルウェアへ感染させるソーシャルエンジニアリングを用いた攻撃が確認されているが、RAR形式で圧縮した「Windowsヘルプファイル(CHMファイル)」を悪用する手口があらたに観測された。
問題のファイルを誤って開くと、「MSIファイル」が実行されて「PowerShellスクリプト」が稼働。さらに別の「MSIファイル」が実行されて情報を窃取されるおそれがある。
(Security NEXT - 2023/05/08 )
ツイート
PR
関連記事
委託事業者間でデータ誤送信、ファイル内に無関係の個人情報 - 大阪市
サーバに不正アクセス、影響など調査中 - ムーンスター
県内14警察署で文書誤廃棄、DVやストーカー関連も - 宮城県警
委託先で調査関連データ含むUSBメモリが所在不明 - 精華町
NEC製ルータ「Aterm」シリーズに脆弱性 - 21モデルに影響
予約管理システムの管理者アカウントに不正アクセス - ホテルプリンセス京都
2027年度に情報処理技術者試験を再編、「データマネジメント試験」新設へ
「Cisco IMC」に複数の脆弱性 - 管理者権限を奪われるおそれも
ビデオ会議ツール「TrueConf」にゼロデイ攻撃 - アップデート機能に脆弱性
保険料額決定通知書に別人の納付書を誤同封 - 名古屋市
