TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

トップ > Web Shell: China Chopper > Analysis of Storm-0558 techniques for unauthorized email access

Analysis of Storm-0558 techniques for unauthorized email access

Web Shell: China Chopper 攻撃組織: Storm-0558 Malware: Cigril

【訳】

電子メールへの不正アクセスに対するStorm-0558テクニックの分析


【図表】


図1. 観測されたStom-0558の活動を曜日と時間(UTC)別に示したヒートマップ

図 2. 脅威アクターが使用するトークン・リフレッシュ機能の Python コード・スニペット

図 3. GetConversationItems への OWA REST API 呼び出しの PowerShell コード・スニペット
出典: https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/


【要約】

2023年7月11日、マイクロソフトは「Storm-0558」という脅威アクターによる電子メール不正アクセスキャンペーンに関する分析を公開しました。中国ベースのスパイ活動を行う脅威アクターであり、偽造認証トークンを使用して政府機関や企業など約25の組織の電子メールアカウントにアクセスしました。アクセスした情報は中国の地政学的利益に関するものであり、特に米国、欧州、台湾、ウイグル関連の個人が標的でした。また、マルウェアやWebシェルの使用、特定のAPIの脆弱性の悪用などのテクニックも確認されました。マイクロソフトは既存の認証トークンの脆弱性を修正し、新しい鍵の発行などのセキュリティ対策を実施しました。


【ブログ】

◆Analysis of Storm-0558 techniques for unauthorized email access (Microsoft, 2023/07/14)
[電子メールへの不正アクセスに対するStorm-0558テクニックの分析]
https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023