B
今週中
北朝鮮の攻撃グループAPT37が、Facebookを利用したソーシャルエンジニアリング攻撃を展開しています
📌 一言でいうと
北朝鮮の攻撃グループAPT37が、Facebookを利用したソーシャルエンジニアリング攻撃を展開しています。攻撃者はターゲットと友人関係を構築した後、暗号化された軍事文書を閲覧させるという口実で、専用のPDFビューアを装ったRokRATマルウェアをインストールさせます。この攻撃は信頼関係を悪用して標的を欺く巧妙な手法を用いています。
🏢影響範囲
政府機関、軍事関係者、および北朝鮮の関心領域に関連する個人や組織
✅該当時の対応
SNSでの見知らぬ人物からのフレンドリクエストを拒否すること。また、信頼できないソースから提供されたソフトウェアやPDFビューアなどのアプリケーションをインストールしないよう徹底してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】SNSを通じた不審なファイル送信への注意について
お疲れさまです。情報システム担当です。
FacebookなどのSNSで、見知らぬ人物から友人申請が届き、その後「特定のソフトをインストールしないと見られないファイルがある」と誘導される攻撃が確認されています。
ご協力をお願いしたいこと:
1. SNSで面識のない人物からのフレンドリクエストやメッセージに注意し、安易に承諾しないこと
2. 知り合いであっても、不自然なソフトウェアのインストールを促された場合は、絶対にインストールせず、すぐにシステム担当へ報告すること
対応期限: 本日中
お疲れさまです。情報システム担当です。
FacebookなどのSNSで、見知らぬ人物から友人申請が届き、その後「特定のソフトをインストールしないと見られないファイルがある」と誘導される攻撃が確認されています。
ご協力をお願いしたいこと:
1. SNSで面識のない人物からのフレンドリクエストやメッセージに注意し、安易に承諾しないこと
2. 知り合いであっても、不自然なソフトウェアのインストールを促された場合は、絶対にインストールせず、すぐにシステム担当へ報告すること
対応期限: 本日中
Subject: [Security Alert] Beware of Suspicious File Requests via Social Media
Hi everyone,
We have received reports of attacks where threat actors use social media (like Facebook) to build trust and then trick users into installing malicious software under the guise of a 'PDF viewer' to open documents.
What we need you to do:
1. Be cautious of friend requests or messages from unknown individuals on social media platforms.
2. Never install software or applications recommended by strangers or through unsolicited messages, even if they claim it is necessary to view a document.
Deadline: Immediate
Hi everyone,
We have received reports of attacks where threat actors use social media (like Facebook) to build trust and then trick users into installing malicious software under the guise of a 'PDF viewer' to open documents.
What we need you to do:
1. Be cautious of friend requests or messages from unknown individuals on social media platforms.
2. Never install software or applications recommended by strangers or through unsolicited messages, even if they claim it is necessary to view a document.
Deadline: Immediate
件名: 【共有】APT37によるRokRAT配布キャンペーンへの対応について
お疲れさまです。APT37(ScarCruft)による新たな標的型攻撃に関する情報共有です。
■ 概要
Facebookでのソーシャルエンジニアリング(プリテキスティング)を用い、暗号化された軍事文書の閲覧に必要であると偽ってRokRATマルウェアを配布させるキャンペーンが確認されました。多段階の攻撃プロセスを経て、最終的にリモートアクセストロジャン(RAT)を感染させます。
■ 影響範囲
- SNSを利用している全社員(特に機密情報を扱う部署)
■ 対応手順
1. エンドポイントセキュリティ(EDR)にて、不審なPDFビューアや未知のバイナリの実行ログを監視すること
2. ユーザーに対し、SNS経由のソフトウェアインストール禁止を再周知すること
3. 組織外からの不審な通信(C2サーバへの接続)がないかトラフィックを監視すること
■ 参考情報
- Genians Security Center (GSC) Technical Breakdown
対応優先度: 高
対応期限: 速やかに
お疲れさまです。APT37(ScarCruft)による新たな標的型攻撃に関する情報共有です。
■ 概要
Facebookでのソーシャルエンジニアリング(プリテキスティング)を用い、暗号化された軍事文書の閲覧に必要であると偽ってRokRATマルウェアを配布させるキャンペーンが確認されました。多段階の攻撃プロセスを経て、最終的にリモートアクセストロジャン(RAT)を感染させます。
■ 影響範囲
- SNSを利用している全社員(特に機密情報を扱う部署)
■ 対応手順
1. エンドポイントセキュリティ(EDR)にて、不審なPDFビューアや未知のバイナリの実行ログを監視すること
2. ユーザーに対し、SNS経由のソフトウェアインストール禁止を再周知すること
3. 組織外からの不審な通信(C2サーバへの接続)がないかトラフィックを監視すること
■ 参考情報
- Genians Security Center (GSC) Technical Breakdown
対応優先度: 高
対応期限: 速やかに
Subject: [Threat Intel] APT37 Campaign Delivering RokRAT via Facebook
Hi team,
This is a technical update regarding a new campaign by APT37 (ScarCruft).
■ Overview
The threat actor is utilizing Facebook for social engineering, employing pretexting to lure targets into installing a malicious PDF viewer. This viewer is a delivery mechanism for the RokRAT remote access trojan (RAT).
■ Scope
- All employees using social media, particularly those in sensitive roles.
■ Mitigation Steps
1. Monitor EDR logs for the execution of unauthorized PDF viewers or suspicious binaries.
2. Reinforce security awareness training regarding social engineering and the dangers of installing software from untrusted sources.
3. Monitor network traffic for potential C2 communications associated with RokRAT.
■ Reference
- Genians Security Center (GSC) Technical Breakdown
Priority: High
Deadline: Immediate
Hi team,
This is a technical update regarding a new campaign by APT37 (ScarCruft).
■ Overview
The threat actor is utilizing Facebook for social engineering, employing pretexting to lure targets into installing a malicious PDF viewer. This viewer is a delivery mechanism for the RokRAT remote access trojan (RAT).
■ Scope
- All employees using social media, particularly those in sensitive roles.
■ Mitigation Steps
1. Monitor EDR logs for the execution of unauthorized PDF viewers or suspicious binaries.
2. Reinforce security awareness training regarding social engineering and the dangers of installing software from untrusted sources.
3. Monitor network traffic for potential C2 communications associated with RokRAT.
■ Reference
- Genians Security Center (GSC) Technical Breakdown
Priority: High
Deadline: Immediate