Lumma StealerとAmadey Botを利用したキャンペーン、製造業界を標的に

codebook 編集部

2025.10.30

ウィークリー・サイバーラウンド・アップ

Lumma StealerとAmadey Botを利用したキャンペーン、製造業界を標的に

Cyble – December 5, 2024

Cybleの研究者が、ある多段階キャンペーンを発見した。このキャンペーンは、PDFに偽装したLNKファイルを使って製造業界を標的にしている。攻撃チェーンではDLLサイドローディングとIDATLoaderを使用し、Lumma StealerとAmadey Botを展開。これにより標的のマシンを制御し、機微な情報を抜き取ることが可能になる。初期感染ベクターは不明だが、PDF文書に見せかけたLNK形式のショートカットファイルへのリンクを受信者にクリックさせる、スピアフィッシングメールが攻撃の起点と思われる。LNKファイルが実行されると、SSHやPowerShell、mshtaなど侵害したシステムに備わったバイナリを複数起動するコマンドが開始され、セキュリティ対策を回避して、次段階のペイロード「Lumma」と「Amadey」がリモートで実行される。

RedLineスティーラーキャンペーン、海賊版ソフトでロシア企業を狙う

Security Affairs – December 08, 2024

カスペルスキーの研究者は、RedLineインフォスティーラーを使ったキャンペーンが進行中であることを確認した。このキャンペーンは今年1月から実施されており、企業向けの海賊版ソフトウェアを使用する複数のロシア企業を標的にしている。攻撃者はビジネスプロセスの自動化を図るユーザーを狙い、自己署名証明書付きのHPDxLIBアクティベーターの有害バージョンを配布する。RedLineスティーラーを含むこのアクティベーターは.NET Reactorで難読化され、中に潜む有害なコードは複数のレイヤーで圧縮／暗号化されていた。攻撃ではロシアにおける事業所有権や会計に特化した複数のフォーラムを介して同アクティベーターが配布されるが、ほとんどの場合、これを実行させるためにセキュリティソフトウェアを無効にする手順が掲載されている。その後、攻撃者はユーザーを騙してアクティベーターに含まれる有害なDLLライブラリと正規のDLLライブラリを入れ替えさせ、これが不正なライブラリをロードし、RedLineスティーラーを実行する。

IOCONTROLマルウェア、イスラエルと米国のIoTおよびOTデバイスを標的に

Claroty – December 10, 2024

イランの国家支援型脅威アクターがイスラエルと米国のIoT（モノのインターネット）およびOT（オペレーショナルテクノロジー）デバイスを狙って使用するカスタムビルドのIoT／OTマルウェア「IOCONTROL」について、Clarotyの研究者が詳述した。このマルウェアはIPカメラやルーター、PLC、HMI、ファイアウォールといったデバイスに影響を与えるもので、被害を受けたベンダーにはBaicells、D-Link、Hikvisionなどが含まれる。最近の攻撃では、イスラム革命防衛隊のサイバー部門に属するとされるCyberAv3ngersがこのマルウェアを使用した。同グループはある攻撃で燃料管理システムのOrpakとGasboyを主な標的とし、イスラエルと米国のガソリンスタンド約200か所を侵害している。

さまざまな業界のログイン認証情報を狙う世界規模のフィッシングキャンペーンが観測される

Group-IB – December 11, 2024

Group-IBの研究者は2024年7月以降、世界中の15管轄区域で30を超す企業および組織の従業員または関係者を狙った進行中のEメールフィッシングキャンペーンを観察した。標的となった業界には製造、政府部門、航空宇宙、金融、エネルギー、通信、ファッションが含まれ、ログイン認証情報の窃取を目的としたスキームの一環として200以上のフィッシングリンクが被害者に配布されている。このキャンペーンはAdobeやDocuSignなどドキュメント管理または電子署名に使われる正規プラットフォームを模倣したフィッシングリンクから始まり、これをクリックして表示されるドキュメントに署名するよう受信者に促す。埋め込まれたドキュメントはAdobe InDesignのサブドメインを使って送られた重要なPDFファイルに見えるものの、実際には被害者をフィッシングページにリダイレクトするリンクを含んでいる。