【訳】
Talos、CIS諸国、大使館、EUの医療機関を狙ったスパイ活動を摘発
【概要】
- Cisco Talosは、少なくとも2022年6月以降、複数のスパイ活動を成功させている、「YoroTrooper」と命名する新たな脅威行為者を特定しました。
- YoroTrooperの主な標的は、我々の分析によると、アゼルバイジャン、タジキスタン、キルギスタン、その他の独立国家共同体(CIS)の政府またはエネルギー組織です。また、欧州連合(EU)の重要な医療機関と世界知的所有権機関(WIPO)という、少なくとも2つの国際機関のアカウントでYoroTrooperの侵害が確認されました。また、アゼルバイジャンやトルクメニスタンを含む欧州諸国の大使館も侵害に成功しています。また、欧州の他の組織やトルコ(Türkiye)の政府機関も標的になっている可能性が高いと評価しています。
- 侵害の成功によって盗まれた情報には、複数のアプリケーションの認証情報、ブラウザの履歴とクッキー、システム情報、スクリーンショットが含まれます。
- YoroTrooperの主なツールは、NuitkaフレームワークやPyInstallerを介して実行ファイルにラップされたStinkステーラーなど、Pythonベースのカスタムビルドおよびオープンソースの情報ステーラーがあります。リモートアクセスのために、YoroTrooperは、AveMaria/Warzone RAT、LodaRAT、Meterpreterなどのコモディティマルウェアも導入しています。
- 感染経路は、悪意のあるショートカットファイル(LNK)と、悪意のあるアーカイブに包まれたおとり文書(オプション)で構成されており、ターゲットに配信されます。攻撃者は、将来の作戦に使用する可能性のある文書やその他の情報を流出させることを目的としているようです。
【ブログ】
◆Talos uncovers espionage campaigns targeting CIS countries, embassies and EU health care agency (Talos(CISCO), 2023/03/14 07:03)
[Talos、CIS諸国、大使館、EUの医療機関を狙ったスパイ活動を摘発]
https://blog.talosintelligence.com/yorotrooper-espionage-campaign-cis-turkey-europe/
【関連まとめ記事】
◆全体まとめ
◆マルウェア / Malware (まとめ)
◆標的型攻撃マルウェア (まとめ)
◆YoroTrooper (まとめ)
https://malware-log.hatenablog.com/entry/YoroTrooper