1,800を超えるCloud Atlas関連アーティファクトを発見、企業の情報漏洩回避を支援

あらゆるAPT（Advanced Persistent Threat）グループは、ラテラルムーブメントを可能にするため検知回避を図ります。しかし、Cloud Atlasは標的型攻撃で一般的に採用されるツール、戦術、手順（TTP）に加え、もうひとつの回避戦術として、政治的圧力にさらされた国にある標的を狙ってきました。

Check Point Research（CPR）は、身を隠そうとするCloud Atlasをよそに、10個のIoC（セキュリティ侵害インジケーター）の特定に成功しました1。これをもとにWhoisXML APIがこのたび調査を行い、さらに1,850個のアーティファクトを発見しました。

当社の調査で、以下を明らかにしました。

サプライチェーン攻撃に悪用されるチャットアプリの存在に迫る

コロナ禍において企業はリモートワークに頼ることを余儀なくされ、その結果チャットアプリの人気が急上昇しました。多くの企業がハイブリッドワークの恒久化を選択したことから、現在も利用者の増加は続いています。

こうした状況において、脅威アクターが脆弱なビジネスチャットアプリに狙いを定め、破壊的なサプライチェーン攻撃を仕掛けるのも不思議ではありません。トレンドマイクロは最近、この脅威に関する技術分析を発表し、9つのコマンド＆コントロール（C&C）サーバアドレスをIoC（セキュリティ侵害インジケーター）としてリストアップしました。¹

WhoisXML APIの研究者が、その公開されたIoCを出発点として拡大分析を行いました。その結果、以下のことが判明しました。

DarkTortillaの他の脅威ベクターを発見

Cyble Research and Intelligence Labs（CRIL）が最近、DarkTortillaを「洗練されたフィッシングマルウェア」であるとして、その詳細な技術分析を行いました。¹

WhoisXML APIでは、CRILが特定したセキュリティ侵害インジケーター（IoC）を出発点として調査を広げました。その結果、以下のことが判明しました。

サプライチェーンのセキュリティ：IconBurstとMaterial Tailwindの攻撃に迫る

ReversingLabsは、サプライチェーンのソフトウェアの攻撃が2022年にかつてないほど増加したと指摘するとともに、2023年にはさらに増えると予測しています。¹ 同社のレポートでは、攻撃の例としてIconBurst² とMaterial Tailwind³を挙げ、オープンソースリポジトリからパッケージをダウンロードする際に注意するよう、npmとPyPIのユーザーに呼びかけています。

RedLine Stealer：IoC分析とその水平展開

今日、脅威アクターは100米ドルほど出せば「RedLine Stealer」を購入できます。RedLine Stealerは、認証情報、銀行の詳細情報、システムデータなどの機密情報を盗むマルウェアです。

CloudSEKの技術分析¹ をもとに、公開されている900件以上のRedLine StealerのIoCを当社で調査しました。その結果、以下を含む重要な発見がありました。

Facebookのビジネスアカウントをお持ちですか？Ducktailにご注意を

WithSecureが最近、Facebookビジネスアカウントのオーナーや広告主を狙った「Ducktail」と呼ばれる不正行為の情報を公開しました*1。WithSecureのレポートには、1,885件のIoC（セキュリティ侵害インジケーター）が列挙されています*2。