BlueNoroff APT の戦術:日本への強い関心と Windows MoTW 回避

BlueNoroff APT Hackers Using New Ways to Bypass Windows MotW Protection

2022/12/27 TheHackerNews — Lazarus Group のサブクラスタである BlueNoroff だが、Windows の Mark of the Web (MoTW) 保護を回避するための、新しい技術を採用していることが確認されている。今日の Kaspersky レポートによると、光ディスクイメージ (拡張子.ISO) および仮想ハードディスク (拡張子.VHD) ファイル形式を用いる、新たな感染チェーンが追加されているとのことだ。セキュリティ研究者である Seongsu Park は、「BlueNoroff は、ベンチャー・キャピタル企業や銀行を装う、多数の偽ドメインを作成している。2022年9月のテレメトリ測定において、この新しい攻撃手順にフラグが立てられた」と述べている。

Continue reading “BlueNoroff APT の戦術:日本への強い関心と Windows MoTW 回避”

PuTTY トロイの木馬版:Amazon の求人情報をルアーにしてバックドアを配布

Hackers trojanize PuTTY SSH client to backdoor media company

2022/09/15 BleepingComputer — 北朝鮮のハッカーが、PuTTY SSH クライアントのトロイの木馬版を使用し、偽の Amazon Job Assessment を仕掛ける手段として、ターゲットのデバイスにバックドアを展開している。 このキャンペーンにおける斬新な要素は、PuTTY/KiTTY SSH ユーティリティのトロイの木馬版を使用して、バックドア (このキャンペーンの場合は AIRDRY.V2) を展開している点にある。今日の Mandiant 技術レポートによると、このキャンペーンを展開した脅威アクターは UNC4034 (別名 Temp.Hermit または Labyrinth Chollima) だとのことだ。このグループの最新の活動は、2020年6月から続いている Operation Dream Job キャンペーンに続くものであり、今回はメディア企業を標的にしていると見られている。

Continue reading “PuTTY トロイの木馬版:Amazon の求人情報をルアーにしてバックドアを配布”