-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
3月29〜31日:サイバーセキュリティ関連ニュース
RESURGEマルウェア、ルートキットとWebシェル機能でIvantiの脆弱性を悪用(CVE-2025-0282)
The Hacker News – Mar 30, 2025
米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)は28日、RESURGE(libdsupgrade.so)と呼ばれる新しいマルウェアの詳細について明らかにした。
RESURGEはSPAWNCHIMERAマルウェアの改良版とされ、すでにパッチが適用されているIvanti Connect Secure(ICS)アプライアンスの脆弱性(CVE-2025-0282)を悪用する試みの一環として展開されたという。この欠陥はIvanti Connect Secure、Policy Secure、Neurons for ZTAゲートウェイに影響するスタックベースのバッファオーバーフロー脆弱性で、リモートコード実行につながる危険性がある。
CISAによると、RESURGEには「再起動後も存続可能といったSPAWNCHIMERAマルウェアの亜種の機能」に加え、Webシェルを作成・使用してファイルの変更や権限を昇格するなど「特徴的なコマンドが複数備わっている」ようだ。さらに「ルートキットやドロッパー、バックドア、ブートキット、プロキシ、およびトンネラーの機能も含まれる」ことが判明している。
またGoogle傘下のMandiantにより、CVE-2025-0282はSPAWNANT、SPAWNMOLE、SPAWNSNAILなど複数のコンポーネントで構成されるマルウェアのエコシステムSPAWNを配布するために武器化されていることがわかっている。この脆弱性は中国関連の脅威グループSilk Typhoon(旧称Hafnium)にゼロデイとして悪用されたことがあるもので、SPAWNを使っているのは同じく中国系のスパイグループUNC5337とされる。
日本のJPCERT/CCも先月、SPAWNを改良したSPAWNCHIMERAの配布にCVE-2025-0282が悪用されたことを確認している。
Morphing Meerkatフィッシングキットが100超のブランドを標的に
サイバーセキュリティ企業Infobloxの調査により、あるフィッシング・アズ・ア・サービス(PhaaS)プラットフォームがDNSメール交換(MX)レコードを使い、100件以上のブランドに扮した偽ログインページを提供するフィッシングキットを生成していることが判明した。
このPhaaSプラットフォームの運営者は脅威アクターMorphing Meerkatの可能性が高く、スパムの大量配信、メールセキュリティシステムのバイパス、難読化といったサービスをユーザーに提供している。Infobloxによると、同アクターはアドテックインフラのオープンリダイレクト脆弱性を悪用し、侵害されたドメインを使用してフィッシングメールを送信。盗んだ認証情報をメールやチャットサービスを通じて配布しているという。観察されたアクティビティは、主に英国(iomart)と米国(HostPapa)のインターネットサービスプロバイダー(ISP)に集中しているようだ。
Morphing Meerkatのプラットフォームは侵害されたWordPressサイトを使って被害者をリダイレクトさせ、DNS MXレコードによるメールサービスプロバイダーの識別、動的なフィッシングページの提供とコンテンツの翻訳(12以上の言語に対応)を行っているとされる。Infobloxは「攻撃のほぼすべてがEメールユーザーのログイン認証情報をターゲットにしている。このPhaaSプラットフォームの開発者は、こういったアクティビティ専用にプラットフォームを設計したものと思われる」と指摘した。
このアクティビティはおそらく2020年1月頃に始まり、当初はGmail、Outlook、AOL、Office 365、Yahooを偽装。その後に大幅な進化を遂げ、現在では114の異なるブランドを偽装したWebテンプレートを動的にロードしている。
Eブック無料配布中:Codebook 2024 ~サイバーセキュリティ分析レポート~
Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。
無料ダウンロードはこちらのバナーから:
目次
第1章:脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法
第2章:世界情勢や地政学がサイバーセキュリティにもたらす影響
第3章:スティーラーの急成長と認証情報の漏洩が生むリスク
第4章:サプライチェーンリスク
第5章:2024 年に組織を脅かした脆弱性
関連投稿
中国ハッカーSalt Typhoon、通信事業者への攻撃で新たなバックドアGhostSpiderを使用
26.11.2024
脆弱なMoxa製デバイスにより、産業用ネットワークが攻撃リスクにさらされる(CVE-2024-9138、CVE-2024-9140)
07.01.2025
新攻撃手法「TunnelVision」、VPNトラフィックの盗聴に使われている恐れ(CVE-2024-3661)
09.05.2024
中国のSalt Typhoon、トップレベルの米高官らの通話を録音していた:ホワイトハウスが報告
10.12.2024
Versa Directorのゼロデイ悪用は中国のAPT Volt Typhoonによるもの、研究者が指摘:CVE-2024-39717
27.08.2024
