-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
2025年11月29日〜12月1日:サイバーセキュリティ関連ニュース
CISA、OpenPLC ScadaBRのXSS脆弱性(CVE-2021-26829)をKEVカタログに追加
The Hacker News – Nov 30, 2025
米CISAは、OpenPLCScadaBRに影響を与える脆弱性(CVE-2021-26829)をKEVカタログに追加した。
これは、system_settings.shtmを介してWindows版およびLinux版のソフトウェアに影響を及ぼすクロスサイトスクリプティング(XSS)の脆弱性であり、CVSSリスクスコアは5.4となっている。影響を受けるバージョンは以下のとおり。
- Windows上のOpenPLC ScadaBR 1.12.4まで
- Linux上のOpenPLC ScadaBR 0.9.1まで
CISAは悪用の詳細に触れていない一方で、カタログ追加の約1か月前の2025年9月に、TwoNetとして知られる親ロシア派ハクティビスト集団が同脆弱性を使ってハニーポットを攻撃したと報告されている。このハニーポットはサイバーセキュリティ企業Forescoutが水処理場に模して設置していたものの、攻撃者は気付かずに初期アクセスを獲得。新たに「BARLATI」というユーザーアカウントを作成した後、CVE-2021-26829を悪用してHMIログインページの説明を改ざんし、「Barlatiがハッキング済み」というポップアップメッセージを表示させたほか、システム設定を変更してログとアラームの無効化を行った。Forescoutによると、攻撃者は権限昇格や基盤となるホストの悪用ではなく、HMIのWebアプリ層に焦点を当てていたそうだ。
TwoNetは今年1月初めにTelegram上で活動を開始し、当初は分散型サービス拒否(DDoS)攻撃に重点を置いていたが、後に産業システムへの攻撃やドキシングに加え、ランサムウェア・アズ・ア・サービス(RaaS)・ハッキング請負・初期アクセス仲介などの商用サービスも提供するようになるなど、より広範な活動へと方向転換している。
米連邦政府文民機関(FCEB)は、2025年12月19日までに必要な修正を適用する必要があるとのこと。
Contagious Interviewキャンペーンが拡大、197件のnpmパッケージで新たなOtterCookieマルウェアを拡散
Security Affairs – November 30, 2025
サイバーセキュリティ企業Socketの報告により、攻撃キャンペーン「Contagious Interview」の背後に潜む北朝鮮の国家支援型アクターがOtterCookieマルウェアの最新版を拡散するため、有害なnpmパッケージを多数アップロードしていることが判明した。
北朝鮮との関連が疑われ、2023年11月から活動が確認されているContagious Interviewは、暗号資産とWeb3.0の分野で活動する開発者を重点的に狙っている。攻撃者はLinkedInなどのプラットフォームで採用担当者を装い、偽の就職面接やトロイの木馬化されたデモプロジェクトといったソーシャルエンジニアリング手法を用いてマルウェアを拡散する。
新たに追加された有害なnpmパッケージは197件を数え、総ダウンロード数は3万1,000回以上。被害者が悪意あるnpmパッケージをインストールすると、ハードコードされたVercelのURLからペイロードが取得される。この際、Vercelのステージングサイトは脅威アクターの制御するGitHubリポジトリからコードを取得して最新版のOtterCookieを実行。その後、別のC2サーバーを使ってデータ窃取やリモート操作タスクが行われることになる。
調査のきっかけとなったのは有害なパッケージ「tailwind-magic」で、Socketの研究者らはここからVercelでホストされたステージングサイト(tetrismic[.]vercel[.]app)を発見し、さらにこのサイトから脅威アクターのGitHubアカウント「stardev0914」を見つけ出したという。「stardev0914」は18件のリポジトリを所有していたとされ、マルウェア配布用コードがここに保管されていたほか、偽の暗号資産プロジェクトなど、ルアーとしての役割を持つリポジトリも存在していた。
このように今回の調査により、攻撃インフラはGitHub(開発)、Vercel(ペイロード配信)、そして別のC2サーバー(タスクとデータ収集)に分割されていることがわかっている。攻撃者が悪用したGitHubのアカウント「stardev0914」はすでに削除されたそうだが、同キャンペーンの進化が止まる気配はなく、毎週のように有害なnpmパッケージが新たに登場しているという。
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
地政学レポート
インテリジェンス要件定義に関するガイドブック
ディープ&ダークウェブレポート
とは?.jpg)
