-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
9月16日:サイバーセキュリティ関連ニュース
Mustang PandaがUSBワーム「SnakeDisk」を展開し、タイのIPアドレスにYokaiバックドアを拡散
The Hacker News – Sep 15, 2025
IBMのサイバーセキュリティ部門IBM X-Forceが先週、Hive0154として追跡している中国系脅威アクターMustang Pandaに関する分析を発表し、TONESHELLバックドアのアップデート版に加え、これまで文書化されていないUSBワーム「SnakeDisk」を使って攻撃していることを明らかにした。
このワームはタイのIPアドレスを持つデバイスでのみ実行されることがわかっており、リバースシェルを構築して任意のコマンドの実行を可能にするYokaiバックドアを配布する。Mustang Pandaは遅くとも2012年に活動を開始した国家支援型アクターで、Hive0154のほかにもBASINやBronze President、Camaro Dragon、Earth Preta、HoneyMyte、Polaris、RedDelta、Stately Taurus、Twill Typhoonなどの名称で知られている。
TONESHELLは2022年11月にトレンドマイクロが初めて文書化したバックドアだが、今回はTONESHELL8およびTONESHELL9と名付けられた新しい亜種が特定された。一方、SnakeDiskはこのバックドアと同じくDLLサイドローディングを介して起動される新たなUSBワームで、TONESHELLファミリーに属する別のUSBワームフレームワーク「TONEDISK」(別名WispRider)と共通点があり、ホストに接続された新規および既存のUSBデバイスを検出し、それを拡散手段として利用しているという。
IBMによると、YokaiにはPUBLOAD/PUBSHELLやTONESHELLなどHive0154(Mustang Panda)関連のバックドアファミリーと重複する点が見られるようだ。また、SnakeDiskとYokaiが使われていることは、タイでの活動に特化しているサブグループの存在だけでなく、Mustang Pandaの攻撃手段が継続的に進化・改良されていることを示唆していると記された。
不注意なエンジニアがリカバリコードを平文で保存し、組織のシステム全体が乗っ取られる
The Register – Mon 15 Sep 2025
セキュリティ企業Huntressは15日にブログを公開し、SonicWall VPN経由で侵入した攻撃者が同社製品のリカバリーコードを記したデスクトップ上の平文ファイルを使い、多要素認証(MFA)を回避したケースを取り上げた。
Akiraランサムウェアのアフィリエイトはこのアクセスを使い、被害者組織のエンドポイントセキュリティツールを無効化。認証情報を盗んで特権ユーザーになりすまし、侵害されたネットワークへの継続的なアクセスを維持するとともに、複数のコンピューターにランサムウェアを感染させたという。攻撃者はその後にエンジニアの認証情報を侵害し、被害者組織が使用している別のプラットフォームの少なくとも1件に侵入したようだ。
Huntressのセキュリティ運用アナリストによると、これらのリカバリコードはMFA回避とアカウントアクセスを回復するためのバックアップ手段として機能しており、「これが侵害された場合、攻撃者は事実上MFAを完全に回避し、正規ユーザーになりすますことができるようになる。また、Huntressコンソールへのフルアクセスを取得できるため、さらなる侵害や検知・対応機能の改ざんのリスクが大幅に高まる」と説明された。
同ブログでは、リカバリコードと認証情報を平文で保存しないことや、強力なパスフレーズと自動入力機能のない暗号化パスワードマネージャーの使用を推奨。パスワードマネージャーを使用できない場合は、これらのシークレットを暗号化されたUSBドライブまたはハードディスク上の、パスワードで保護された暗号化ファイルに保存するよう忠告している。
【無料配布中!】地政学情勢×サイバー動向の解説レポート
レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』
以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。
目次
- 序論
- ハクティビズム
- ハクティビズムの変遷
- 戦争におけるハクティビズム
- 「選挙イヤー」におけるハクティビズム
- 絡み合う動機
- 国家の支援を受けたハッカー集団
- 偽情報
- 国家間対立
- 偽情報とロシア・ウクライナ戦争
- 偽情報とイスラエル・ハマス戦争
- 偽情報と選挙が世界にあふれた2024年
- 国家型APTの活動
- 中国
- ロシア
- 北朝鮮
- イラン
- マルチチャネルインテリジェンスの運用化における課題と関連リスク
とは?.jpg)
