Winnti APTがWinntiマルウェア最新版を展開、日本の複数組織を標的に

nosa

2025.10.21

ウィークリー・サイバーラウンド・アップ

Winnti APTがWinntiマルウェア最新版を展開、日本の複数組織が標的にされる

gbhackers – February 13, 2025

LAC Watchの研究者は2024年3月、高度持続的脅威（APT）アクターWinntiによるキャンペーン「RevivalStone」を観察した。このキャンペーンは日本の製造、素材、エネルギー各分野の組織を標的としており、機能が強化され、高度な回避技術を活用したWinntiマルウェアの新しいバージョンが使用されている。攻撃は通常、Webサーバーで稼働するERPソフトウェアにおけるSQLインジェクションの脆弱性を悪用することから始まり、China ChopperやBehinderといったWebシェル、さらに「sqlmapファイルアップローダー」を展開して初期アクセスの獲得、偵察、認証情報の収集、横方向への移動が行われた。

Lazarus Groupが有害なnpmパッケージを使い、サプライチェーン攻撃の一環として開発者を狙う

SecurityScorecard – February 13, 2025

北朝鮮の脅威アクターLazarus Groupによる新たなキャンペーン「Operation Marstech Mayhem」をSecurityScorecardの研究者が特定した。同キャンペーンのターゲットは開発者で、新しい高度なインプラント「Marstech1」を含む有害なnpmパッケージを攻撃に使用。このマルウェアはソフトウェア開発者と暗号資産ウォレットを侵害することを目的としている。Lazarus Groupは偽のGitHubリポジトリを用意し、正規のものに見せかけたプロジェクトをLinkedInとDiscordで宣伝。このプロジェクトには難読化されたJavaScriptペイロードが含まれており、これがローダーとして機能する。このローダーは被害者のシステム構成に基づいて追加のペイロードを取得し、最終的なペイロードを使って暗号資産ウォレットのデータと認証情報を盗み出す。

偽のMicrosoftログインページを使い、偽アプリAdobe Drive Xをインストールさせるフィッシングキャンペーン

Cofense – February 14, 2025

Cofenseの研究者により、正規のMicrosoft 365ログインページを使ってユーザーを騙し、有害アプリ「Adobe Drive X」をインストールさせるフィッシングキャンペーンが発見された。攻撃はOffice 365のパスワードリセット要求を装ったフィッシングメールから始まり、このメールにはユーザーを正規のMicrosoft認証ページに誘導するリンクが含まれている。続いて認証ページにアクセスすると、認証情報を入力してAdobe Drive Xに権限を与えるようユーザーに要求。この有害アプリをインストールする際にユーザーが「同意する」オプションをクリックすると、Microsoftログインページを装った認証情報フィッシングページにリダイレクトされる。

Snake Keyloggerを使ったフィッシングキャンペーン、ターゲットはトルコの航空宇宙・防衛部門

Malwation – February 11, 2025

Snake Keyloggerインフォスティーラーの亜種を使い、トルコの防衛および航空宇宙部門の複数組織をターゲットにしたフィッシングキャンペーンをMalwationの研究者が特定した。攻撃者はトルコ航空宇宙産業に扮し、契約を装ったフィッシングメールを送信。Snake KeyloggerはPowerShellを使って Windows Defenderの除外リストに自らを追加し、仮想マシン対策やその他の検出対策技術を実行する。このマルウェアはスケジュールされたタスクを使って自動的に実行され、さまざまなブラウザやメールクライアントから認証情報、Cookie、金銭関連情報などの機微データを収集する。盗まれたデータはTelegram、Discord、FTP、SMTPなど、脅威アクターが指定した通信チャネルを通じて送信される。