新登場のResolverRAT、医療・製薬業界をフィッシングとDLLサイドローディングで攻撃

ウィークリー・サイバーラウンド・アップ

新登場のResolverRAT、医療・製薬業界をフィッシングとDLLサイドローディングで攻撃

Morphisec – April 14, 2025

新たなリモートアクセス型トロイの木馬ResolverRATが複数の攻撃で使用されていることを、Morphisecの研究者が明らかにした。標的は医療・製薬業界で、最近の攻撃は2025年3月上旬に確認されている。DLLサイドローディングで感染を拡大するResolverRATにはメモリ内実行、ランタイムのAPIやリソースの割り当て、そして多層的な回避技術が組み合わされており、通常は攻撃対象国の言語で書かれたフィッシングメールに添付された悪意のあるリンクを介して配布される。フィッシングメール内で捜査や著作権侵害に言及するなど、Lumma StealerやRhadamanthysマルウェアを用いた近年のキャンペーンと同様の戦術・技術・手順（TTP）が使われている。

APT29、GRAPELOADERとWINELOADERの新亜種でヨーロッパの外交官を標的に

Check Point – April 15, 2025

Check Pointの研究者により、2025年1月からヨーロッパの外交機関を狙ったAPT29によるフィッシングキャンペーンが観測された。GRAPELOADERと呼ばれる新たなローダーに加え、WINELOADERの新たな亜種を拡散するこのキャンペーンはWINELOADERキャンペーンの後継とみられ、ROOTSAWをGRAPELOADERに置き換えたものになっている。被害者にはヨーロッパ某国の外務省に扮したEメールが送られ、偽のワイン試飲会への招待状を用いて有害なリンクをクリックするよう誘導。このURLをクリックすることでDLLサイドローディングに悪用される正規のPowerPoint実行ファイル、ジャンクコードで肥大化した隠しDLL、そして高度に難読化されたGRAPELOADER DLLを含むZIPアーカイブのダウンロードが始まり、このDLLが攻撃チェーンの後半でWINELOADERを拡散させているようだ。GRAPELOADERは感染したホストに関する基本情報を収集し、それをC2サーバーに送信。次の段階のシェルコードが送られてくるのを待機する。

RomComの亜種Damascened Peacockが英国防省へのスピアフィッシングキャンペーンに利用される

BankInfoSecurity – April 14, 2025

英政府は2025年4月11日、英国防省（MOD）が2024年後期にDamascened Peacockダウンローダーを配布するスピアフィッシングキャンペーンによって攻撃されていたことを公表した。このマルウェアはRomComマルウェアファミリーに属するRustyClawとSnipBotの亜種で、XORベースのインライン文字列難読化や動的なAPI割り当てといった高度な回避策が採用されている。Damascened Peacockは当初、報道機関を装ったフィッシングメールに添付された悪意のあるリンクによって配布されていたが、その後に金銭関連のルアーが使われるようになった。ユーザーはPDFに偽装された署名付き実行ファイルをダウンロードするよう誘導され、この偽PDFがDamascened PeacockのDLLファイルを取得し、おとり用の文書を表示する。そしてDamascened Peacockが第1段階のプロセス内でロード・実行されると、COMハイジャックを「explorer」の実行プロセスに登録することで最終段階のダウンロードと実行が始まる。

進行中のキャンペーンでPlayPraetorマルウェアの新たな亜種が確認される

CTM360 – April 9, 2025

バンキング型トロイの木馬PlayPraetorを使った進行中のキャンペーンが規模を拡大し、有害な偽サイトが16,000件以上存在していることをCTM360の研究者が確認した。このキャンペーンでは現在までにPlayPraetorの新たな亜種が5件使用されており、それぞれがフィッシングや認証情報の窃取、リモートアクセス、ステルスベースの永続化など異なる動作を示している。これらの亜種にはPlayPraetor PWA（プログレッシブWebアプリ）、PlayPraetor Phish、PlayPraetor Phantom、PlayPraetor RAT（リモートアクセス型トロイの木馬）、PlayPraetor Veilが含まれ、金融、テクノロジー、通信などさまざまな業界が標的にされている。PlayPraetor PWAは正規のアプリに見せかけた偽PWAをインストールし、PlayPraetor Phishはフィッシングページを起動してユーザーの認証情報を窃取、PlayPraetor RATは感染デバイスの完全なリモート制御を可能にする。

TROX Stealerで複数のセキュリティ企業に被害　法的措置を示唆して緊急対応促す

Sublime – April 10, 2025

2024年12月に発生し、TROX Stealerを配布するキャンペーンをSublimeの研究者が分析した。債務や法的措置について言及したEメールを送り、被害者に緊急対応が必要と思わせるこのキャンペーンはセキュリティ企業を主な標的としているが、そのほかにも著名大学や太陽光発電会社などが被害を受けている。フィッシングメールにはHTMLでレンダリングされたテキストが含まれ、法的文書とされるものへのリンクから多段階の実行チェーンを介してTROXが配信される。TROX Stealerは保存されたクレジットカード情報、ブラウザの認証情報、暗号資産ウォレット、DiscordおよびTelegramのセッションファイルといった機微性の高いデータを盗み出すことができる。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界

【無料配布中！】ランサムウェアレポート＆インテリジェンス要件定義ガイド

ランサムウェアレポート：『2024 Ransomware? What Ransomware?』

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

• 主なプレーヤーと被害組織
• データリークと被害者による身代金支払い
• ハクティビストからランサムウェアアクターへ
• 暗号化せずにデータを盗むアクターが増加
• 初期アクセス獲得に脆弱性を悪用する事例が増加
• 公に報告された情報、および被害者による情報開示のタイムライン
• ランサムウェアのリークサイト – ダークウェブ上での犯行声明
• 被害者による情報開示で使われる表現
• ランサムウェアに対する法的措置が世界中で増加
• サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
• 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件（PIR）を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。

＜ガイドブックの主なトピック＞

本ガイドブックでは、優先的インテリジェンス要件（PIR）の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

• 脅威プロファイルの確立
• ステークホルダーの特定・分析
• ユースケースの確立
• 要件の定義と管理
• データの収集と処理
• 分析と生産
• 報告
• フィードバック
• 実効性の評価