-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
8月2日〜4日:サイバーセキュリティ関連ニュース
新たなLinuxバックドア「Plague」、悪性PAMモジュールで認証を回避
Security Affairs – August 02, 2025
高ステルス性の新たなLinuxバックドア「Plague」を、Nextron Systemsが発見。悪性のPluggable Authentication Module(PAM)モジュールとして隠されている同マルウェアは、認証を密かにバイパスして永続的なSSHアクセスを確立する性能を持つという。
PAMはLinuxなどのUnix系OSで使われる、認証タスクを管理するためのフレキシブルなシステム。システム管理者は、PAMを使うことでlogin、sudo、sshdなどのプログラムを変更することなく、パスワード、指紋、スマートカードといった多様な認証メソッドを組み込むことができる。
悪性のPAMとして構築されたPlagueバックドアは検出を回避するため、驚異的に複雑な文字列難読化手法を使用。Nextron Systemsによれば、ここ1年で同マルウェアの複数バージョンがVirusTotalにアップロードされているものの、いずれも「malicious」の判定はされていなかったという。Plagueの初期のバージョンはシンプルなXOR暗号化を使っていたものの、その後のサンプルにはKSA/PRGA系のルーティンが実装され、最新版にはDRBDレイヤが加わっていることも報告されている。Nextron Systemsはこれらの変更について、「脅威アクターによる、自動・手動分析を回避しようとする取り組みが続いていることが反映されている」と指摘。難読化により機密性の高い文字列だけでなくメモリオフセットも隠されるため、静的分析を「信頼できないもの」にしていると述べた。
Plagueには、ld.so.preloadの不在を確認したり、自らをリネームするといったアンチデバッグ性能も備わるほか、主要な環境変数を解除し、シェル履歴を/dev/nullにリダイレクトすることでSSHセッションの痕跡をサニタイズ。これにより、ステルス性と永続性を確保するという。
コアな認証メカニズムを悪用してステルス性および永続性を維持するPlagueバックドアについて、Nextron Systemsは「Linuxインフラに対する高度で進化を続ける脅威」の代表的な存在であると指摘。従来型のメソッドでは特に検出が難しいと述べつつ、検出アーティファクトやYARAルールなどを共有している。
暗号資産ウォレットドレイナー隠し持つAI作成の悪性npmパッケージが見つかる
The Hacker News – Aug 01, 2025
暗号資産ウォレットドレイナーを隠し持つ、AIで作成された悪性npmパッケージをソフトウェアサプライチェーンセキュリティ企業のSafetyが発見。2025年7月28日に「Kodane」というユーザーによりアップロードされたこのパッケージは、その後削除されるまで1,500回以上ダウンロードされていたという。
問題のパッケージは、「高性能な Node.js アプリケーション向けの高度なライセンス検証とレジストリ最適化ユーティリティ」と謳われていた「@kodane/patch-manager」で、Safetyによれば、そのソースコードでは直接悪意ある機能が宣伝されていたという。
このパッケージをインストールすると、自動的に実行されるpostinstallスクリプトによりWindows、Linux、macOSいずれかの隠しディレクトリにペイロードが投下され、C2サーバー(sweeper-monitor-production.up.railway[.]app)への接続が行われる。その後マルウェアはシステムをスキャンし、ウォレットファイルがないかをチェック。見つかった場合には当該ウォレット内の全資産、ハードコードされたSolanaブロックチェーン上のウォレットアドレスへ抽出するという。
npmのようなオープンソースのリポジトリで暗号資産ドレイナーが見つかったのはこれが初めてではないものの、@kodane/patch-managerはAnthropic社製のAIチャットボット「Claude AI」の使用を示唆する痕跡がある点でほかとは一線を画しているという。今回の発見についてSafetyの研究者McCarty氏は、脅威アクターらがよりユーザーを欺きやすく危険なマルウェアを作成するために「いかにAIを活用しつつあるか」が浮き彫りになったと指摘している。
【無料配布中!】地政学情勢×サイバー動向の解説レポート
レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』
以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。
目次
- 序論
- ハクティビズム
- ハクティビズムの変遷
- 戦争におけるハクティビズム
- 「選挙イヤー」におけるハクティビズム
- 絡み合う動機
- 国家の支援を受けたハッカー集団
- 偽情報
- 国家間対立
- 偽情報とロシア・ウクライナ戦争
- 偽情報とイスラエル・ハマス戦争
- 偽情報と選挙が世界にあふれた2024年
- 国家型APTの活動
- 中国
- ロシア
- 北朝鮮
- イラン
- マルチチャネルインテリジェンスの運用化における課題と関連リスク
とは?.jpg)
