中国語を話す脅威アクターがBadIISを使ってSEOを操作

nosa

2025.10.27

ウィークリー・サイバーラウンド・アップ

中国語を話す脅威アクターがBadIISを使ってSEOを操作

Trend Micro – February 7, 2025

2024年、インターネット情報サービス（IIS）を標的とした検索エンジン最適化（SEO）詐欺キャンペーンの一環として、アジアでBadIISマルウェアが大量に配布されていることをトレンドマイクロの研究者が確認した。最も影響を受けた国はインド、タイ、ベトナムなどで、政府、大学、テクノロジー企業、通信といった各部門のIISサーバーが標的になっている。観察されたキャンペーンでは脅威アクターが脆弱なIISサーバーを悪用し、侵害されたサーバーにBadIISをインストール。BadIISはJavaScriptコードを挿入することでWebサーバーから要求されたHTTP応答ヘッダー情報を変え、訪問者を有害なサイトに誘導する。観察された亜種のほとんどはリダイレクト先が不法ギャンブルサイトだったが、同じ手法でマルウェアやフィッシングスキームをホストする有害サーバーにリダイレクトさせるケースもあると研究者は警告した。

ディープシークClickFixキャンペーンがVidar StealerとLumma Stealerを配布

CloudSEK – February 10, 2025

複数の脅威アクターがディープシークのブランド名を悪用し、Vidar StealerやLumma Stealerといった情報窃取型マルウェアを配布するフィッシングキャンペーンを開始している。CloudSEKの研究者によって観測されたこれらのキャンペーンは、投資スキームなどをルアーにしてClickFix技術を活用。中にはパートナーシッププログラムと称するディープシークの偽サイトを使うキャンペーンもある。「検証」ボタンをクリックすると偽のCAPTCHAプロンプトが開き、有害なPowerShellコマンドがコピーされると、ユーザーはこれを「コマンドの実行」ダイアログボックスに貼り付けるよう指示される。このキャンペーンで使われた偽ドメインは、AIベースの検索エンジンによる検出を回避するためにCloudflareの背後でホストされていた。

入国審査をルアーに使い、旅行者から機微データを盗むフィッシングキャンペーン

Cofense – February 12, 2025

Cofenseの研究者により、シンガポールへの旅行者をターゲットにした進行中のフィッシングキャンペーンの詳細が明らかになった。遅くとも2023年9月に始まったこのキャンペーンは標的を絞り込んだものだが、最近ではマレーシアと英国への旅行者も狙うようになっている。同キャンペーンでは入国審査の一環として追加で情報提出を求めるフィッシングメールが使われ、このEメールからシンガポール入国管理局の公式サイトに見せかけたフィッシングページへ誘導。その後、ユーザーは必要とされる処理手数料を支払うために、クレジットカードの詳細など機微な情報を提供するよう指示される。偽ポータルの一部分には、正規のものに見せかけるために個人を特定できる情報が自動で入力されている。