複数ライセンス割引見積
脅威データベース スティーラーズ AnvilEcho インフォスティーラー

AnvilEcho インフォスティーラー

スティーラーズMezoまで
翻訳内容:
日本語

イラン政府が支援する脅威アクターが、2024年7月下旬からユダヤ人の著名人を狙ったスピアフィッシング攻撃に関与していることが判明した。攻撃者の目的は、AnvilEchoと呼ばれる新しい情報収集ツールを展開することだった。

サイバーセキュリティ研究者は、この活動を TA453 と特定しました。このグループは、サイバーセキュリティ コミュニティではAPT42 (Mandiant)、Charming Kitten (CrowdStrike)、Damselfly (Symantec)、Mint Sandstorm (Microsoft)、Yellow Garuda (PwC) など、さまざまな名前でも知られています。

攻撃者は当初、無害な電子メールを通じて標的とのコミュニケーションを確立し、信頼関係を構築しようと試み、その後、脅迫的なリンクをクリックするよう説得しようとしました。

脅威アクターはこれまで知られていなかったマルウェアを展開する

この攻撃チェーンは、BlackSmith と呼ばれる新しいマルウェア ツールキットを展開することを目的としており、これにより AnvilEcho と呼ばれる PowerShell トロイの木馬が配信されました。

TA453はイランのイスラム革命防衛隊(IRGC)と関連があると考えられており、同国の政治的および軍事的目的を推進するために標的型フィッシング攻撃を行っている。調査データによると、APT42の地理的標的の約60%は米国とイスラエルに向けられており、イランと英国も標的となっている。

彼らのソーシャル エンジニアリング戦術は執拗かつ説得力があります。攻撃者は正当な組織やジャーナリストになりすまして潜在的な被害者を誘い込み、徐々に信頼を築いてからマルウェアを仕込んだ文書や偽の認証情報フィッシング ページで罠にかけます。

多段階のフィッシングとソーシャルエンジニアリングの連鎖

APT42 は、まずソーシャル エンジニアリング戦術を使ってターゲットと接触し、ビデオ会議を手配します。ターゲットをランディング ページに誘導し、ログインを促してからフィッシング ページに誘導します。別のアプローチでは、ソーシャル エンジニアリング スキームの一環として正規の PDF 添付ファイルを送信し、信頼関係を構築して Signal、Telegram、WhatsApp などのプラットフォームでのやり取りを促進します。

最近の攻撃は2024年7月22日に始まり、攻撃者は名前の明かされていないユダヤ人の人物に関連する複数のメールアドレスに連絡を取りました。彼らは戦争研究研究所(ISW)の研究ディレクターを装い、ターゲットをポッドキャストのゲストとして参加するよう招待しました。

TA453 は、ターゲットの問い合わせに応じて、パスワードで保護された DocSend URL を送信したと報告されています。この URL は、ISW がホストする正規のポッドキャストへのリンクを含むテキスト ファイルにつながります。詐欺メールは、実際の ISW Web サイト (understandingwar.org) を模倣する目的で、understandingthewar.org というドメインから送信されました。

研究者らは、TA453 の戦略は、ターゲットをリンクのクリックやパスワードの入力に慣れさせ、将来のマルウェア配信に引っかかりやすくすることだったと考えています。その後のメッセージでは、脅威アクターは、ZIP アーカイブ (「Podcast Plan-2024.zip」) をホストする Google ドライブの URL を送信しました。このアーカイブには、BlackSmith ツールキットを展開するように設計された Windows ショートカット (LNK) ファイルが含まれていました。

AnvilEcho は強力なデータ収集の脅威です

BlackSmith ツールキットを介して配信される AnvilEcho は、CharmPower、GorjolEcho、 POWERSTAR 、PowerLess などの以前の PowerShell インプラントの後継であると考えられています。BlackSmith は、注意をそらすためにルアー ドキュメントを表示するようにも設計されています。

注目すべきは、「BlackSmith」という名前が、今年初めに情報セキュリティの専門家によって特定されたブラウザ窃盗コンポーネントと以前から関連付けられてきたことです。このコンポーネントは、中東情勢に関与する著名人をターゲットにした、BASICSTAR を配布するキャンペーンにリンクされていました。

AnvilEcho は、主に情報収集とデータ流出を目的とした、幅広い機能を備えた高度な PowerShell トロイの木馬です。主な機能には、システムの偵察、スクリーンショットの撮影、リモート ファイルのダウンロード、FTP および Dropbox 経由の機密データのアップロードなどがあります。

TA453 のフィッシング キャンペーンは、IRGC の諜報活動の優先事項と一貫して一致しています。著名なユダヤ人をターゲットにしたこの特定のマルウェアの展開は、イスラエルの利益に対するイランのより広範なサイバー活動の一部であると思われます。TA453 は、政治家、人権擁護者、反体制派、学者を標的とした、根強い脅威であり続けています。

トレンド

Towragapp.live

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
オンラインで安全を保つことは、これまで以上に重要です。無数の Web サイト、アプリケーション、サービスがユーザーの注意を引こうと競い合っているため、悪意のある行為者に遭遇するリスクは常に存在します。そのような危険の 1 つは、ユーザーを騙して搾取するために設計された不正な Web サイトの形で発生します。その代表的な例が Towragapp.live です。これは、何も知らないインターネッ...

インターネットラジオ

望ましくない可能性のあるプログラム, アドウェア, ブラウザハイジャッカー
ますます相互接続が進む世界では、デバイスのセキュリティがこれまで以上に重要になっています。サイバー脅威は進化しており、潜在的に不審なプログラム (PUP) は、プライバシーとセキュリティを侵害する可能性のある、特に欺瞞的なソフトウェア カテゴリです。これらのアプリケーションは、無害なツールを装うことがよくありますが、デジタル エクスペリエンスを深刻に損なう侵入機能を備えています。インターネッ...

EDRKillShifter マルウェア

マルウェア
RansomHub ランサムウェアに関連するサイバー犯罪グループが、侵害されたシステム上のエンドポイント検出および対応 (EDR) ソフトウェアを無効にすることを目的とした新しいツールを展開しているのが確認されました。サイバーセキュリティの専門家は、この EDR 無効化ユーティリティを「EDRKillShifter」と名付けました。このツールは、2024 年 5 月に失敗したランサムウェア攻...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
83,797
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Msedge.exeとは何ですか?

問題
65,778
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...

「プリンタドライバが利用できません」エラーを修正する方法

問題
64,226
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
読み込んでいます...