[2023-09-20 更新] 脅威グループの評価: Muddled Libra

This post is also available in: English (英語)

概要

脅威グループMuddled Libraは、狡猾なソーシャル エンジニアリングと臨機応変の技術活用の両方に長けています。企業の情報技術に精通している同脅威グループは旧来型サイバー防御対策を十分に備えている組織にとっても重大なリスクとなっています。

彼らはソフトウェア オートメーション、BPO、テレコミュニケーション、テクノロジー業界の組織に大きな脅威をもたらしています。

Unit 42のリサーチャーとレスポンス担当者は、2022年半ばから2023年初頭にかけて、関連しあう6件以上のインシデントを調査し、これらのインシデントを脅威グループMuddled Libraに帰属させました。この脅威グループは、価値の高い暗号通貨機関や個人にサービスを提供している大規模なアウトソーシング会社を好んで標的にします。Muddled Libraを阻止するには、厳重なセキュリティ コントロール、入念なセキュリティ意識向上トレーニング、慎重な監視を組み合わせる必要があります。

パロアルトネットワークスのお客様は、Cortex XDRと連携するCortex XSIAMを中心に構築された最新のセキュリティ アーキテクチャにより、本稿で説明する脅威からの保護を受けています。Advanced URL FilteringやDNS Security などのクラウド配信型セキュリティ サービスは、コマンド&コントロール(C2)インフラからの保護に役立ちます。またApp-IDは、ネットワークへの接続を許可する匿名化サービスを制限できます。

更新

2023 年 9 月 15 日現在、Unit 42 チームは Muddled Libra が関与した複数のインシデントに追加で対応しました。同アクターが使うさらに巧妙な手法を観測したことから、本稿の調査内容を更新する必要が生じました。 

Muddled Libra の戦術は柔軟で、標的環境にすばやく適応します。彼らがソーシャル エンジニアリングを主な手口としている点は変わっていません。その標的は企業の IT ヘルプ サポート デスクです。たとえば同アクターは、ものの数分で、被害者のアカウント パスワードを変更してから MFA をリセットし、被害者のネットワークにアクセスできるようにしていました。 

彼らの TTP (戦術・技術・手順) で目立った変更点のひとつは匿名化プロキシー サービスの多用です。同アクターはこうしたプロキシー サービスで IP アドレスを隠し、地理的にローカルなリージョンにいるように見せかけます。 

私たちが最近担当した事例では Muddled Libra が次のアクティビティを実行しているようすが観測されました。

• NSOCKS プロキシー サービスや TrueSocks プロキシー サービスの利用
• 特定セキュリティ ベンダーからの電子メールを攻撃者に転送する電子メール ルールを作成し、通信内容や事例の調査協力者を監視する
• 被害環境にカスタム作成した仮想マシンをデプロイする 
• VMware vCenter サーバーを対象としてオープンソースのルートキット bedevil (bdvl) を使う
• 管理者権限を奪取する

また、Muddled Libra のメンバーは英語を第一言語としているため、英語話者に対するソーシャル エンジニアリング攻撃能力がそのぶん高いと考えられます。私たちが観測した被害者は主に米国国内にいるようです。  

最近の研究を公開して以降の Muddled Libra には、BlackCat (別名 ALPHV) ランサムウェア グループとの関連が見られます。私たちは、彼らがアフィリエイトの一員であると考えています。BlackCat はここ 12 か月で最も活発で執拗なランサムウェア グループの 1 つと考えられています。この 12 か月間で BlackCat のリーク サイトに投稿されたインシデントは少なくとも 316 件にのぼります。BlackCat はアフィリエイトに対し、コンパイルされたランサムウェア バイナリー、サポート、交渉、リーク サイトへのアクセスを含むキットへのアクセスを提供しています。

関連する Unit 42 のトピック	Muddled Libra (related to Scattered Spider, Scatter Swine), 0ktapus

脅威の概要
Attack Chain (攻撃チェーン)
Reconnaissance (偵察)
Resource Development (リソース開発)
Initial Access (初期アクセス)
Persistence (永続性)
Defense Evasion (防衛回避)
Credential Access (クレデンシャルへのアクセス)
Discovery (探索)
Execution (実行)
Lateral Movement (ラテラルムーブ)
Collection (収集)
Exfiltration (漏出)
Impact (影響)
結論と緩和策
IoC (侵害指標)
追加リソース

脅威の概要

Muddled LibraをMuddled Libraたらしめている攻撃スタイルは、2022年後半にリリースされた0ktapusフィッシング キットの登場とともに、サイバーセキュリティ界隈のレーダーに浮かび上がりました。0ktapusフィッシング キットというのは、ビルド済みのホスティング フレームワークとバンドルされたテンプレートを提供するものです。本物そっくりの偽認証ポータル多数と標的型スミッシングを使い、攻撃者はクレデンシャルと多要素認証(MFA)コードをすばやく集めることに成功しました。

その攻撃のスピードと幅広さは、多くの防御側の不意を突きました。スミッシングはとくに目新しいものではありませんが、0ktapusのフレームワークは、通常ならば複雑なインフラ構築をコモディティ化することで、スキルの低い攻撃者でも高い成功率を得られるようにしました。

その機能のなかには、ビルド済みのテンプレートやTelegram経由の組み込みC2チャンネルが含まれ、費用はぜんぶでわずか数百USドルでした。この機能向上は、サイバー犯罪者らによる幅広い組織を標的とした大規模な攻撃キャンペーン開始につながりました。

このキットで攻撃される標的数は非常に多く、リサーチ コミュニティ内でも、これらの攻撃の帰属についてかなりの混乱が生じています。これまでのGroup-IB、CrowdStrike、Oktaによる報告は、これらの攻撃の多くを0ktapus、Scattered Spider、Scatter Swineなどの侵入グループに文書化・マッピングしています。メディアではこれらを1グループについた3つの名前として扱っていますが、実際には複数のアクターが同じツールキットを使っている可能性が高いものと思われます。Muddled Libraはそれらのアクターに含まれるサブグループです。

Unit 42はインシデント対応調査の過程で複数のインシデントに共通する攻撃手口が見られることを確認しました。このことは、先に述べたサブグループが複雑な一連のサプライチェーン攻撃を集中的に行うことで、最終的には価値の高い暗号通貨関連機関を標的化していることを示していました。

Muddled Libraの特徴は次のようなものです。

• 0ktapusフィッシング キットの使用
• 長期にわたる永続性
• 非破壊的な常在
• ビジネス プロセス アウトソーシング(BPO)業界の執拗な標的化
• データの窃取
• 侵害したインフラの後段の攻撃での使用

Muddled Libraの調査をしていると、考えられないほどの数の攻撃ツールキットの使用が確認されます。彼らの武器庫は、実践的なソーシャル エンジニアリングやスミッシング攻撃にはじまり、ニッチなペネトレーション テスト ツールやフォレンジック ツールへの習熟など、多岐にわたります。

Unit 42のチームが調査したインシデントだと、Muddled Libraには目標達成にむけた綿密さやきわめて柔軟な攻撃戦略が見られました。攻撃経路が遮断されれば、別の攻撃ベクトルにすばやく切り替えるか、有利な攻撃経路を使えるよう環境を修正してしまいます。

またMuddled Libra脅威グループは最新インシデント レスポンス(IR) フレームワークに対する理解の深さも幾度となく誇示してきました。彼らはこうした知識を背景として、インシデント レスポンダーが環境からの締め出しを図っても目標に向けた侵攻を続けられるのです。一度定着するとその根絶は容易ではありません。

Muddled Libraは盗んだデータで被害組織の顧客を標的にすることを好みます。しかもチャンスがあれば、何度でも侵害環境に戻って最新のデータセットを盗みなおしていきます。この脅威アクターは、こうして盗んだデータを使い、初期のインシデント対応が済んだ後でさえ、被害者のもとに戻ってみせるのです。これは、発見後でさえ変わらぬ攻撃者の執拗さをあらわしています。

また、Muddled Libraは、単に日和見的なアクセスから収益化を図るのではなく、明確な目標を持って動いているように見えます。彼らは被害組織の下流にある顧客の環境情報をすばやく探し出して盗み、その情報を使って侵害の軸足をそれらの環境に移していました。つまりこれは、被害組織にとってどの顧客が価値が高く、後に続く攻撃でいちばん役立つ情報は何であるかを彼らが知悉していることを表しています。

攻撃チェーン

インシデントはそれぞれにユニークですが、Unit 42のリサーチャーは、戦術・技術・手順(TTP)に十分な共通点があることを確認し、複数のインシデントをMuddled Libraに帰属させています。攻撃チェーンを図1に示します。

以下、MITREのATT&CKフレームワークにマッピングしました。

Reconnaissance (偵察)

Muddled Libraは、従業員リストや職務内容、携帯電話の番号など、標的の組織への知悉ぶりを一貫して示してきました。なかには以前上流にある組織を侵害して手に入れたと思われるデータを使っている事例もあります。

脅威アクターはまた今はなきGenesisやRussian Marketsのような不正データ ブローカーから情報を一式入手することもよくあります。このデータは、たとえばRedLine Stealerのようなマルウェアを使って、企業や個人の感染したデバイスから収穫されたものであるケースが多いです。

以前のBYOD (Bring Your Own Device: 私物デバイス持ち込み)ポリシーの導入とその後ハイブリッド ワーク用ソリューションの普及により、企業データやクレデンシャルが、個人所有デバイス上で頻繁に使われたりキャッシュされたりするようになりました。IT資産の管理・保護が分散化することで、情報窃取型マルウェアにとっては有利な標的化のチャンスが生じています。

Resource Development (リソース開発)

スミッシング攻撃に使われる本物そっくりのドメインは、Muddled Libraの典型的な特徴です。モバイル デバイスはSMSメッセージではリンクを切り詰めて表示することが多いため、こうした戦術が有効に働きます。

0ktapusキャンペーンに帰属する初期の一連の攻撃は、一貫してPorkbunまたはNamecheap経由で登録されたドメインを使い、Digital Oceanのインフラ上でホストされていました。これらのドメインは短命で、初期アクセス段階にのみ使われ、すぐに削除される傾向がありました。

ほとんどの調査でUnit 42はクレデンシャルの収穫を目的に0ktapusフィッシング キットが使われたことを確認しています。Group-IBは犯罪アンダーグラウンドで広く普及しているこの多用途なキットを多数文書化してきました。立ち上げや設定のスキルがほぼ必要ないので、これは高度に標的化されたスミッシング攻撃にうってつけのツールとなっています。

初期アクセス

Unit 42が初期アクセス ベクトルを特定しえたインシデントにはすべて、スミッシングとヘルプデスク ソーシャル エンジニアリングのいずれかまたは両方が関係していました。ほとんどのインシデントで、脅威アクターは、標的となる従業員の携帯電話に直接、「アカウント情報の更新や企業アプリケーションの再認証が必要」だとしてルアー メッセージを送信していました。これらのメッセージには、見慣れたログイン ページを模したなりすましの企業ドメインへのリンクが含まれていました。

Persistence (永続化)

Muddled Libraは、標的環境へのアクセス維持にとくに重きを置いていました。脅威アクターは、侵入時にリモート監視・管理(RMM)ツールの無料版やデモ版を使うことがよくありますが、Muddled Libraはこれらのユーティリティを6つ以上インストールすることがよくありました。万が一どれかが発見されても、まだ環境にバックドアを維持できるようにしています。

市販RMMツールの使用はとくにやっかいです。というのもMuddled Libraが悪用しているこれらのツールは、正規の用途でも使われているビジネスクリティカル アプリケーションだからです。こうしたアプリケーションは正当な理由から組織内に存在する可能性があるため、防御側はこれらを完全にブロックするリスクとその使用を注意深く監視するリスクを天秤にかけねばなりません。観測されたツールは、Zoho Assist、AnyDesk、Splashtop、TeamViewer、ITarian、FleetDeck、ASG Remote Desktop、RustDesk、ManageEngine RMMなどです。

これらのツールはいずれも本質的に悪意のあるものではなく、多くの企業ネットワークで日常的な管理の用途で頻繁に使われています。Unit 42は、企業内での使用が許可されていないRMMツールは、署名者にもとづいてブロックすることを推奨します。

防衛回避 (Defense Evasion)

Muddled Libraはさまざまなセキュリティ コントロールに習熟しているとみえ、一般的な防御を回避していました。

彼らの行動には以下が含まれます。

• ウイルス対策ツールやホストベース ファイアウォールを無効化
• ファイアウォール プロファイルの削除を試行
• Defenderで除外する対象を作成
• EDRなどのモニタリング製品の停止ないしアンインストール

攻撃者はまた、一般的なSIEM(セキュリティ情報とイベント管理)監視ルールのトリガーを回避するために、既存のActive Directoryアカウントを再有効化して使用していました。また、EDR (エンドポイント検出およびレスポンス)の管理コンソール内で操作をしてアラートを消去することも確認されています。

Muddled Libraはオペレーション時のセキュリティにも気を配り、一貫して市販のVPN(仮想プライベートネットワーク)サービスを使って地理上の場所をごまかし、正規トラフィックに紛れ込もうとしていました。調査対象となったUnit 42のほとんどのインシデントではMullvad VPNが好まれていましたが、ExpressVPN、NordVPN、Ultrasurf、Easy VPN、ZenMateなどほかの複数のベンダーも確認されています。

またUnit 42のリサーチャーは、レジデンシャル ローテーション プロキシー サービス (住宅用IPアドレス ネットワークのアドレス プールから、セッションごとに異なるIPアドレスを割り当てるプロキシー サービス)の利用も観測しています。Brian Krebs氏が2021年に報告したように、レジデンシャル プロキシー サービスは通常、Webブラウザーの拡張機能にコードを隠しています。これによって、オペレーターはそれが正規の用途であれ不正用途であれ、住宅用IP接続をリースできるようになります。

クレデンシャルへのアクセス (Credential Access)

初期アクセスに使用されるクレデンシャルを手に入れた攻撃者は、2つある攻撃経路のいずれかを使っていました。1つめは、自らの管理するマシンから認証プロセスを継続し、ただちに多要素認証(MFA)コードを要求するという経路です。もう1つの経路は、ユーザーが疲れやイライラからうっかりプロンプトを受け入れるように、MFAのプロンプト文字列を送り付けつづける(MFA爆撃の名でも知られる)という経路です。

MFA爆撃に失敗した場合、脅威アクターは被害者を装って組織のヘルプデスクに連絡していました。そして携帯電話を操作できないとか置き忘れたなどと言い訳をして、攻撃者が管理する新たなMFA認証デバイスの登録を求めていました。

Muddled Libraのソーシャル エンジニアリングの成功は注目に値します。同グループは多くの事例でヘルプデスクやほかの従業員を電話ごしにやすやすと説得し、安全ではない行為に手を染めさせていました。

足場を確保したMuddled Libraは、その後すばやくアクセス権の昇格に向けて動いていました。このフェーズでは、標準的なクレデンシャル窃取ツールであるMimikatz、ProcDump、DCSync、Raccoon Stealer、LAPSToolkitなどを採用していました。特権をもつクレデンシャルをすぐに見つけられなかった場合は、Impacket、MIT Kerberos Ticket Manager、NTLM Encoder/Decoderなどに切り替えていました。

MAGNET RAM CaptureやVolatilityを使ってメモリー内を直接検索し、クレデンシャルを取得するという、あまり見られない手段をとっていたインシデントもありました。Muddled Libraが悪用しているこれらのツールは正当な目的でも利用されるフォレンジック ツールなので、セキュリティ チームによる活動が偽陽性アラートを生成する可能性も考え、これらのツールをブロックすることのデメリットを防御側は慎重に考え合わせる必要があります。

これは防御側にとっての重要ポイントを提起しています。特権アクセス管理によってユーザー アカウントが保護されていても、エンドポイントにはシステム管理やサービス実行のために昇格したクレデンシャルがキャッシュされていることが少なくありません。特権をもつクレデンシャルには、そのクレデンシャルで意図している機能の実行に最低限必要な権限だけをもたせ、平時の振る舞いから逸脱していないかを注意深く監視すべきです。

探索 (Discovery)

Muddled Libraの探索手法は事例ごとに一貫していました。私たちの調査では、このグループはよく知られた正規のペネトレーション テスト ツールを使って環境をマッピングし、関心の対象となる標的を特定していました。彼らのツールキットは、SharpHound、ADRecon、AD Explorer、Angry IP Scanner、Angry Port Scanner、CIMplantなどでした。

Muddled Libraはまた、探索や自動化にManageEngine、LANDESK、PDQ Inventoryなどの商用システム管理ツールを使うことで、これらのツールへの精通も証明しています。仮想環境では、VMware PowerCLIやRVToolsも使用していました。

防御側は、許可されていないネットワーク スキャンや、複数のシステムへの異常な高速アクセス、論理的なビジネス セグメントを横断するアクセスの特定に警戒する必要があります。

Execution (実行)

私たちの調査では、Muddled Libraは主にデータとクレデンシャルの窃取に関心を持っているようで、リモート実行を目にすることはほとんどありませんでしました。必要があれば、実行にSysinternalsのPsExecやImpacketが使われていました。見つかったクレデンシャルや認証ハッシュは特権昇格に使われていました。

Lateral Movement (ラテラル ムーブ)

ラテラル ムーブについては、足場となる侵害マシンからのリモート デスクトップ プロトコル(RDP)が好んで使われていました。彼らはこのアプローチを取ることで、防御側に警戒を喚起し、調査側の原因究明に役立つような、外部ネットワークのアーティファクトを最小限しかログに残さないようにしていました。

Collection (収集)

Muddled Libraは一般的な企業のデータ管理に精通しているように見えます。彼らは、被害組織のマシン上の機微データを、構造化されたものから構造化されていないものまで、幅広い一般的データ リポジトリーから見つけ出すことに成功していました。この対象にはたとえば以下が含まれます。

• Confluence
• Git
• Elastic
• Microsoft Office 365スイート(SharePoint、Outlookなど)
• 社内メッセージング プラットフォーム

彼らはまた、ZendeskやJiraのような一般的なサービス デスク アプリケーションからも被害環境のデータを探し出していました。マイニングされたデータには、さらなる侵害のためのクレデンシャルが含まれており、彼らは機微情報や機密情報を直接狙っていました。

Unit42のリサーチャーはまた、オープンソース データ マイニング ツールのSnafflerの利用や、*password*、securestringといったキーワードでネイティブ ツールを使ってレジストリー、ローカル ドライブ、ネットワーク共有を検索するようすも確認しています。侵害されたデータは、WinRARやPeaZipを使って漏出のためにステージング・アーカイブされていました。

防御側は、より広範なデータ管理・分類戦略の一環として、不適切に保存されたデータやクレデンシャルを特定するため、自身の環境で定期的にキーワード検索を行うべきです。

Exfiltration (漏出)

いくつかのケースでMuddled Libraはコマンド&コントロールや漏出に向けてリバース プロキシー シェルやセキュア シェル(SSH)トンネルを確立しようとしていました。Muddled Libraはput[.]io、transfer[.]sh、wasabi[.]com、gofile[.]ioといった一般的なファイル転送サイトも利用して、データの漏出や攻撃ツールの取得の両方を行っていました。また私たちはファイル転送エージェントとしてのCyberduckの使用も確認しています。

Impact (影響)

Unit42が直接観測した影響は、機微データの窃取のほか、Muddled Libraにより信頼されている組織インフラが悪用され、被害組織の下流にあたる顧客にさらなる攻撃が行われるようすが確認されています。

結論と緩和策

彼らはソフトウェア オートメーション、BPO、テレコミュニケーション、テクノロジー業界の組織に大きな脅威をもたらしています。彼らはさまざまなセキュリティ規範に精通し、比較的セキュアな環境にも侵害を広げ、迅速な実行で破壊的な攻撃チェーンを完遂します。

Muddled Libraには、弱点をつなぎ合わせて破滅的な影響をもたらすという異様な才覚を除けば、何ら新しい点はみられません。防御側は、最先端のテクノロジー、包括的セキュリティ衛生管理、外部脅威・内部イベントの丹念な監視、これらを組み合わせて行う必要があります。社内データや顧客データの損失という高くつくリスクは、情報セキュリティ プログラムを現代化するための強力なインセンティブとなります。

弊社は、前述の攻撃チェーンのセクションで説明した緩和策に加え、以下の対策を推奨します。

• 可能な限り、MFAとシングルサインオン(SSO)を実装します。できればFIDO (Fast Identity Online)を採用しましょう。私たちが調査したケースでMuddled Libraが最も成功を収めていたのは従業員を説得してMFAを回避させた場合でした。これが失敗するとべつの標的に移るようです。
• 防御側はまた、MFAに何度も失敗した場合のセキュリティ警告やアカウントのロックアウトをどのように実装するのが最適かを検討する必要があります。
• 包括的なユーザー意識トレーニングを実施します。Muddled Libraは、電話やSMSを使ったヘルプ デスクやほかの従業員へのソーシャル エンジニアリングに重点を置いています。従業員トレーニングを行い、電子メール以外にも不審な連絡があれば識別できるようにすることが非常に重要です。
• 侵入された場合、この脅威アクターは現代的なインシデント レスポンス プレイブックを知悉しているものと考えてください。別の通信チャネルを利用するレスポンス メカニズムの設置を検討します。
• クレデンシャルの衛生状態が最新であることを確認します。必要なとき、必要な期間だけアクセスを許可します。
• 重要な防御システムやセキュリティコントロールへのアクセス監視と管理は熟練した攻撃者から身を守るには不可欠です。権限はそれぞれの職務に必要なものだけに制限されるべきです。Cortex XDRやCortex XSIAMなどのITDR (Identity Threat Detection and Response)ツールを使用し、平時とは異なる振る舞いがないか監視します。
• 防御側は、ネットワークへの接続を許可される匿名化サービスを、理想的にはファイアウォールでApp-IDによって制限すべきです。

本稿で解説した脅威の防御にあたって、パロアルトネットワークスは組織に以下のようなさらなるセキュリティ対策の導入を推奨します。

• ネットワーク セキュリティ: 機械学習の設定が有効な次世代ファイアウォール(NGFW)や、ベストインクラスのクラウド提供型のセキュリティ サービスを通じてネットワーク セキュリティを提供します。これにはたとえば、Threat Prevention、URL Filtering、DNS Security、悪意のあるサンプルやインフラを特定・防止できるマルウェア防止エンジンなどが含まれます。
• エンドポイント セキュリティ: 高度な機械学習と振る舞い分析を活用して悪意のあるコードを特定できるXDRソリューションによりエンドポイント セキュリティを提供します。このソリューションは、脅威が特定されたその場でリアルタイムに脅威に対処・ブロックできるよう構成されている必要があります。
• セキュリティ オートメーション: エンドポイント、ネットワーク、クラウド、IDシステムから得たデータを統合し、SOCアナリストが脅威の全体像を把握しやすいようにしてくれるXSOARソリューションやXSIAMソリューションを通じて、セキュリティ オートメーションを提供します。

侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、こちらのフォームからご連絡いただくか、infojapan@paloaltonetworks.comまでメールにてご連絡いただくか、下記の電話番号までお問い合わせください(ご相談は弊社製品のお客様には限定されません)。

• 北米フリーダイヤル: 866.486.4842 (866.4.UNIT42)
• 欧州: +31.20.299.3130
• アジア太平洋: +65.6983.8730
• 日本: +81.50.1790.0200

IoC

パロアルトネットワークスは、ファイル サンプルや IoC (侵害指標) を含む調査結果を Cyber Threat Alliance (CTA: サイバー脅威アライアンス) のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使って、お客様に保護を迅速に提供し、悪意のあるサイバー脅威アクターを体系的に阻害できます。詳細についてはCyber Threat Allianceにてご確認ください｡

このアクティビティで観測されたIPアドレス

• 104.247.82[.]11
• 105.101.56[.]49
• 105.158.12[.]236
• 134.209.48[.]68
• 137.220.61[.]53
• 138.68.27[.]0
• 146.190.44[.]66
• 149.28.125[.]96
• 157.245.4[.]113
• 159.223.208[.]47
• 159.223.238[.]0
• 162.19.135[.]215
• 164.92.234[.]104
• 165.22.201[.]77
• 167.99.221[.]10
• 172.96.11[.]245
• 185.56.80[.]28
• 188.166.92[.]55
• 193.149.129[.]177
• 207.148.0[.]54
• 213.226.123[.]104
• 35.175.153[.]217
• 45.156.85[.]140
• 45.32.221[.]250
• 64.227.30[.]114
• 79.137.196[.]160
• 92.99.114[.]231

追加リソース

• Unit 42 シニア コンサルタント Stephanie Regan との Muddled Libra に関するディスカッション: Unit 42 on CyberWire Daily 脅威ベクトル ポッドキャスト
• Unit 42 シニア リサーチャー Kristopher Russo、Muddled Libra の綿密な戦術を明らかに: Unit 42 on CyberWire Daily 脅威ベクトル ポッドキャスト
• Roasting 0ktapus: The phishing campaign going after Okta identity credentials, Group-IB
• Not a SIMulation: CrowdStrike Investigations Reveal Intrusion Campaign Targeting Telco and BPO Companies, CrowdStrike
• Detecting Scatter Swine: Insights into a Relentless Phishing Campaign, Okta
• I Solemnly Swear My Driver Is Up to No Good: Hunting for Attestation Signed Malware, Mandiant
• Is Your Browser Extension a Botnet Backdoor? Krebs on Security
• Suspicion stalks Genesis Market’s competitors following FBI takedown

2023-09-20 10:15 JST 英語版更新日 2023-09-15 16:40 PDT の内容を反映し、追加で対応した事例からの TTP (戦術・技術・手順) の情報を追記