Star Blizzardのスピアフィッシングキャンペーン、標的はWhatsAppアカウント

nosa

2025.10.27

ウィークリー・サイバーラウンド・アップ

Star Blizzardのスピアフィッシングキャンペーン、標的はWhatsAppアカウント

Microsoft – January 16, 2025

マイクロソフトの研究者は2024年11月中旬、ロシアの脅威アクターStar Blizzardが初期アクセスベクターの標的をWhatsAppアカウントに変更したことを確認した。このキャンペーンではまずスピアフィッシングメールを送信し、ウクライナのNGO支援を目的とする非政府イニシアチブのWhatsAppグループへの参加を要請。このメールは米国政府関係者を装ったもので、壊れたQRコードを敢えて記載することで受信者が送信元へ問い合わせるよう仕向ける。するとSafe Linksでラップされた短縮リンクを含む2番目のメールが送られ、グループ参加に使うとされる別のQRコードが記されたWebページへ被害者を誘導。このQRコードをスキャンするとStar Blizzardが被害者のWhatsAppアカウントに接続できるようになり、アカウント内のメッセージにアクセスした上で、ブラウザプラグインを使ってデータを盗み出す。

FortiGate構成情報のリークに対する関心を悪用し、研究者を標的にLuaマルウェア「SmartLoader」が配布される

Chris Partridge – January 19, 2025

セキュリティ研究者のChris Partridge氏は、Belsen GroupによってFortinet FortiGateの構成情報がリークされたニュースへの関心を悪用し、マルウェアを配布している脅威アクターの存在について警告した。新たに作成されたGitHubリポジトリ「Fortigate Belsen Leak Tracker」には、リークの影響を受けるIPがすべて記載されていると思わせるZIPファイルへのリンクが含まれている。しかし実際には、このファイルがLummaなどインフォスティーラーのインストールによく使われるLuaマルウェア「SmartLoader」を配布する。

新たなマルチステージローダーPNGPlugを使い、中国語圏の複数組織にValleyRATが拡散

Intezer – January 16, 2025

香港、台湾、中国を含む中国語圏の複数組織に対する一連の攻撃をIntezerの研究者が特定した。このキャンペーンでは、新しいマルチステージローダー「PNGPlug」を使ってValleyRATが配布されている。攻撃は主にフィッシングサイトから始まり、正規のソフトウェアを装った有害なMSIパッケージをダウンロードするよう被害者を誘導。実行すると無害なアプリケーションが展開され、DLLローダーと有害なPNG画像ファイルを含む暗号化されたアーカイブが抽出される。このPNGファイルにはPEファイルが含まれており、これが読み込まれ、新たに作成されたプロセスに挿入されるとValleyRATが実行される。

偽のAnyDesk接続リクエストを使い、脅威アクターがCERT-UAになりすます

The Hacker News – January 21, 2025

ウクライナのコンピューター緊急対応チームCERT-UAは、未知の脅威アクターが偽のAnyDesk接続リクエストを送信し、同機関になりすます試みを続けていると警告した。このリクエストはセキュリティ監査の実施を装ったもので、ユーザーの信頼を悪用するソーシャルエンジニアリングの手法が使われている。この攻撃を成功させるには、ターゲットのコンピューターにAnyDeskがインストールされ、動作していることのほか、攻撃者がそのAnyDeskの識別子を入手している必要がある。

PlushDaemon、トロイの木馬化されたIPanyのVPNでSlowStepperバックドアを配布

ESET – January 22, 2025

韓国のVPNプロバイダーIPanyを標的に、2023年と2024年に実施されたサプライチェーン攻撃をESETの研究者が特定した。この攻撃は中国系APT（高度持続的脅威）PlushDaemonによるものとみられ、同グループがIPanyの正規インストーラーをSlowStepperバックドアを含むインストーラーに置き換えた。この新しいカスタムバックドアは、少なくとも30個のモジュールで構成されている。PlushDaemonは遅くとも2019年から活動しており、中国や台湾、香港、韓国、米国、ニュージーランドのユーザーに対するスパイ活動を行っている。