CamelClone 攻撃キャンペーン：政府機関を標的としたサイバー攻撃

概要

セキュリティ企業Seqrite Labsは、新たなサイバー諜報キャンペーン「Operation CamelClone」を発見しました。このキャンペーンは、政府や戦略的なセクターを標的とし、合法的なツールや公開ファイル共有サイトを利用してマルウェアを配布し、機密情報を盗み出しています。

このキャンペーンは、標的型フィッシングメールを用いて開始されます。攻撃者は、標的組織の関連性を示すファイル名を付けたZIPアーカイブを送信します。アーカイブには、合法的な組織のロゴを使用した偽装画像が含まれています。

標的がZIPアーカイブ内のショートカットファイルを開くと、PowerShellコマンドが実行され、ファイル共有サイトから追加のペイロードがダウンロードされます。その後、JavaScriptローダーが実行され、RcloneとMEGAクラウドストレージを使用してデータを不正にエクスフィレートします。

攻撃者は、匿名のメールアドレスを使用してMEGAクラウドストレージにアクセスし、標的のデスクトップディレクトリからドキュメントを収集します。これらのファイルは、ドキュメント、PDF、テキストファイル、およびTelegramデスクトップのセッションデータを含みます。

攻撃者は、ファイル共有サイト「filebulldogs[.]com」を使用してペイロードをホストし、匿名のメールアドレスを使用してMEGAクラウドストレージにデータをアップロードします。

Seqrite Labsは、このキャンペーンが政府や国防、外交、エネルギーセクターを標的としており、サイバー諜報活動の一部である可能性が高いと結論付けています。

元記事: https://gbhackers.com/file-sharing-sites/