SalmonSlalomキャンペーン、APACの産業部門と政府機関にFatalRATを拡散

nosa

2025.10.21

ウィークリー・サイバーラウンド・アップ

SalmonSlalomキャンペーン、APACの産業部門と政府機関にFatalRATを拡散

Kaspersky – February 24, 2025

アジア太平洋（APAC）地域の産業部門と政府機関、とりわけ中国語を話す被害者を狙った進行中のキャンペーン「SalmonSlalom」をKasperskyの研究者が特定した。このキャンペーンでは中国のクラウドコンテンツ配信ネットワーク（CDN）myqcloudとYoudao Cloud Notesを使い、FatalRATと呼ばれるマルウェアを展開。同マルウェアはフィッシングメールやWeChatまたはTelegramを介して配布され、これらの通信には請求書や正規の納税申告書を装ったZIPアーカイブが添付されている。このアーカイブにはFatalRATの第1段階ローダーが含まれており、これが、コンフィギュレータと第2段階ローダーへのリンクのリストをダウンロードするためのHTTP要求をYoudao Cloud Notesに送信。続いて、DLLサイドローディングの手法で最終的なペイロードが正規のプロセスメモリに挿入される。FatalRATは外部IPアドレスやインストール済みのオペレーティングシステム、インストールされたセキュリティソリューションに関する情報など、さまざまなシステム情報を収集する。

GitHubリポジトリを悪用してマルウェアを配布し、暗号資産を盗むGitVenomキャンペーン

Kaspersky – February 24, 2025

Kasperskyの研究者により、GitHubリポジトリを悪用してマルウェアを配布し、暗号資産を盗む新たなキャンペーン「GitVenom」が発見された。このキャンペーンでは有害なコードを組み込んだ偽プロジェクトを含むリポジトリをGitHub上に多数作成し、これを使ってNode[.]jsスティーラーやAsyncRAT、Quasarバックドア、クリップボードハイジャッカーといったペイロードをさらにインストールさせる。GitVenomに関連する感染の試みは世界中で確認されており、その大部分がロシア、ブラジル、トルコをターゲットにしていた。偽プロジェクトはPython、JavaScript、C、C++、C#など複数のプログラミング言語で用意され、ソーシャルメディアや暗号資産管理の自動化ツールといった機能を保証していることが多い。また、これらの偽プロジェクトにはAI生成と思われるMDファイルも含まれ、プロジェクトに関する情報やコードのコンパイル方法が記されている。

DeceptiveDevelopmentキャンペーン、偽求人広告でソフトウェア開発者をターゲットに

ESET – February 20, 2025

ESETの研究者が「DeceptiveDevelopment」と呼ばれる進行中のキャンペーンを特定した。2023年11月から始まり、暗号資産や分散型金融のプロジェクトに携わるフリーランスのソフトウェア開発者を標的にしている同キャンペーンは、スピアフィッシングの手法を利用してBeaverTailとInvisibleFerretの最新バージョンを配布。主な狙いは暗号資産ウォレットとログイン情報の窃取で、スパイ活動を副次的な目的としている。DeceptiveDevelopmentのオペレーターはソーシャルメディア上でリクルーターを装い、被害者に直接アプローチ、あるいはサイトに偽求人を掲載して被害者を誘い込み、面接のプロセスを開始する。最もよく見られる侵害ベクターとしては、偽リクルーターから被害者にバグの「修正」を依頼するプロジェクトが挙げられる。

大規模ボットネットがパスワードスプレー攻撃を展開、標的はMicrosoft 365アカウント

SecurityScorecard – February 24, 2025

13万台以上の侵害されたデバイスで構成され、Microsoft 365ユーザーを狙って大規模なパスワードスプレー攻撃を実行するボットネットをSecurityScorecardの研究者が特定した。2024年12月に始まったこの攻撃は、基本認証を使った非対話型サインインを悪用し、多要素認証なしでログインできるようにするもの。攻撃者はインフォスティーラーログ内の盗難認証情報を利用し、1つのパスワードで複数のアカウントを同時に標的にする。攻撃者の全IPアドレスとの通信に繰り返し関与しているIPアドレスが特定されており、これにはSharkTechでホストされ、「過激な」活動が見られたIPアドレスも含まれる。特定されたC2サーバーは合わせて6台だが、すべて同様のオープンポートがあり、中国に拠点を置く2つの主要なホスティングプロバイダー、CDSC-AS1とUCLOUD HKを使用していた。このキャンペーンは、おそらく中国関連のグループによるものとされている。

Silver Fox APTが医療部門を狙い、偽のPhilips DICOMビューアを使ってValleyRATを配布

Forescout – February 24, 2025

Forescoutの研究者により、Philips DICOMビューアインスタンスを装った29件のマルウェアサンプルが特定された。これらのサンプルは、中国拠点の高度持続的脅威（APT）アクターSilver Foxが使うバックドアマルウェア「ValleyRAT」を展開する。米国とカナダから多数のサンプルが提出されたことから、Silver Foxは標的を拡大しているものと思われる。このマルウェアは2024年7月以降、定期的に更新されているようで、2025年1月の最新サンプルではPowerShellコマンドのレイヤーが複数確認されるなど検出回避力を高めていた。この最新のサンプルはPhilips DICOMビューアに加え、EmEditorまたはシステムドライバーを装っている。侵害されたデバイスはキーロガーとクリプトマイナーにも感染しており、こうした挙動はこれまでSilver Foxに関連付けられていなかった。