-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
4月15日:サイバーセキュリティ関連ニュース
日本も標的に:中国関連APTが世界的なサイバースパイキャンペーンでIvanti Connect Secure VPNを狙う(CVE-2025-0282、CVE-2025-22457)
Securityonline[.]info – April 15, 2025
Ivanti Connect Secure VPNアプライアンスを狙った広範なサイバースパイキャンペーンについて、Team T5が報告。このキャンペーンではオーストリア、オーストラリア、フランス、スペイン、日本、韓国、米国など12もの国々が標的となっており、被害組織の業界も自動車、化学、政府、金融、電気通信など20近くに及ぶという。TeamT5は、これらの攻撃がIvanti Connect Secureの脆弱性CVE-2025-0282またはCVE-2025-22457の悪用によって行われているものと高い確度で評価している。
CVE-2025-0282はスタックベースのバッファオーバーフローの脆弱性で、遠隔の攻撃者に悪用された場合、認証不要で任意のコードを実行できるようになるもの。この脆弱性は、これまでにも悪用が報告されており、カスタムのマルウェアツールキットSpawnを展開する攻撃で2024年12月から使われているとMandiantが報告している。Spawnは中国との繋がりを持つとみられるスパイグループUNC5337に関連するマルウェアであり、Mantiantはこの攻撃がUNC5337というアクターによるものだと、中程度の確度で評価していた。
一方でCVE-2025-22457はIvanti Connect Secureに加え、Policy Secure、ZTAゲートウェイにも影響を与えるスタックベースのバッファオーバーフローの脆弱性。リモートコード実行に繋がる恐れのある脆弱性で、これについても悪用がすでに確認されていた。
TeamT5が新たに観測したキャンペーンでは、UNC5337に関連するものとみられるマルウェアツールキットSPAWNCHIMERAが使われていたことが報告されている。同ツールキットはIvanti製VPNアプライアンス専用に開発されており、複数の中国関連アクターが共通して利用するもので、以下の機能を備えるマルチモジュール型のツールとされる。
- SPAWNANT:インストール
- SPAWNMOLE:SOCKS5トンネラー
- SPAWNSNAIL:SSHバックドア
- SPAWNSLOTH:ログワイパー
TeamT5は2025年4月以降、Ivanti VPNアプライアンスに対する大規模な悪用試行を観測。そのほとんどは失敗に終わっていたものの、多数のアプライアンスがフリーズ状態になったり、不安定な状態になったりしていたという。このことから、UNC5337のみならず複数の脅威アクターがこれらの脆弱性の情報を入手し、それぞれ独自の攻撃キャンペーンを開始している可能性が示唆されているとのこと。
リクルーターに扮した北朝鮮アクターが、偽の「コーディングチャレンジ」で暗号開発者を標的に
Securityonline[.]info – April 14, 2025
北朝鮮の国家支援型脅威グループSlow Pisces(別称:Jade Sleet、TraderTraitor、PUKCHONG)による最新のキャンペーンについて、パロアルトネットワークスのUnit 42が報告。リクルーターを装ったSlow PiscesはLinkedIn上で暗号資産関連の開発者に虚偽の職を提示し、「コーディングチャレンジ」と称した悪意あるリポジトリから新たなペイロードRN LoaderおよびRN Stealerをダウンロードさせようとしているという。
Slow Piscesは暗号資産セクターの大規模組織を狙ってきたことで知られ、日本の暗号資産企業から3億800万ドル相当が盗み出された事件の実行者であるとされる。また最近ではドバイの暗号資産取引所から15億ドル相当を窃取した疑いがあるなど、北朝鮮政権のための資金獲得に勤しんでいる。
今回Unit 42が観測したキャンペーンの攻撃チェーンではまず、Coinbaseなどの暗号系企業のリクルーターに扮したSlow Piscesがターゲットになりそうな暗号資産開発者に対し、募集要項の記載された無害なPDFファイルを送りつける。求職者がこれに応募すると、Slow Piscesは「Question Sheet」という名称の別のPDFを送付する。この2つ目のPDFには、採用プロセスの一環とされる「コーディングチャレンジ」についての記載があり、GitHubからPythonまたはJavaScriptのプロジェクトをダウンロードする必要がある旨が記されている。しかしこのGitHubリポジトリには悪意あるコードが含まれている。
JavaScript版の攻撃チェーンについてはまだ全容が明らかになっていないものの、Python版では準備段階のローダー「RN Loader」が投下されたのち、インフォスティーラー「RN Stealer」が展開される。ただし、C2サーバーがペイロードを送り込むのは有効とみなされたターゲットのみ。この判断はIPアドレスや地理的位置情報、時間、HTTPリクエストヘッダに基づいてなされているものとみられる。広範なフィッシングキャンペーンを実施するのではなくLinkedIn上の個人に標的を限定することで、Slow Piscesとしては攻撃チェーンの後半を自らの手で制御しやすくなるのだという。
LinkedInやGitHubを使う点はAlluring PiscesやContagious Interviewなど、北朝鮮関連のほかの脅威グループにも共通するが、Slow Piscesはオペレーションセキュリティの点で際立っているとUnit 42は指摘。分析や検知、ハンティングを大幅に妨げるテクニックを有していることに加え、経験の浅い新参開発者には無害なものと見分けの付きづらいリポジトリを使用している点にも言及した。
Eブック無料配布中:Codebook 2024 ~サイバーセキュリティ分析レポート~
Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。
無料ダウンロードはこちらのバナーから:
目次
第1章:脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法
第2章:世界情勢や地政学がサイバーセキュリティにもたらす影響
第3章:スティーラーの急成長と認証情報の漏洩が生むリスク
第4章:サプライチェーンリスク
第5章:2024 年に組織を脅かした脆弱性
関連投稿
