偽のGitHubリポジトリがSmartLoaderとLummaStealerの配布に使用される

nosa

2025.10.21

ウィークリー・サイバーラウンド・アップ

偽のGitHubリポジトリがSmartLoaderとLummaStealerの配布に使用される

Trend Micro – March 11, 2025

偽のGitHubリポジトリを使い、SmartLoaderに続いてLummaStealerやその他の有害なペイロードを配布する進行中のキャンペーンをトレンドマイクロの研究者が特定した。マルウェアはゲームチートやソフトウェアのクラック版、暗号資産ユーティリティを装った不正なGitHubリポジトリを介して配布され、感染すると暗号資産ウォレットや2FA拡張機能、ログイン認証情報、その他の個人を特定できる情報といった機微情報を盗まれてしまう。研究者は今回観察したキャンペーンについて、2024年10月に観測されたものと重複していると指摘した。どちらのキャンペーンもSmartLoaderとLumma Stealerの拡散にLuaスクリプトを使い、配布についてはGitHubに依存していたことがわかっている。ただし昨年10月のキャンペーンでは、偽リポジトリのリリースセクションに有害ファイルを保存するのではなく、GitHubのファイル添付が使われていた。

Storm-0408によるマルバタイジングキャンペーン　約百万台に感染、データと認証情報を盗む

Microsoft – March 6, 2025

2024年12月にマイクロソフトの研究者は、Storm-0408によるものとされる大規模なマルバタイジングキャンペーンを発見した。このキャンペーンによって、すでに100万台近いデバイスが情報窃取の目的で侵害されている。ペイロードの配布、実行および永続化の目的でモジュール式多段階アプローチが採用され、マルウェアの配布はGitHubレポジトリやDiscord、Dropboxを介して行われている。LummaStealer、新型DoeneriumといったインフォスティーラーやNetSupportを配布し、環境寄生型のバイナリーとスクリプトを使用する。感染は、GitHubにリダイレクトする前に中間サイトへ誘導するマルバタイジングリダイレクターが埋め込まれた違法ストリーミングサイトを起点とする。GitHubリポジトリのマルウェアは、さらなるペイロードのドロッパーとして機能する。

SideWinder APTがツールセットとインフラを更新、海洋事業と原子力発電所を狙う

Securelist – March 10, 2025

カスペルスキーの研究者は、高度持続型脅威（APT）アクターグループのSideWinderがツールセットを更新し、新たに大規模なインフラを2024年下半期に構築したことを確認した。SideWinderのターゲットに大きな変化はないが、海洋インフラ、物流企業、原子力発電所に対する攻撃が著しく増加していることが確認された。更新されたマルウェアによる攻撃の対象となった国は、ベトナム、カンボジア、バングラデシュ、アラブ首長国連邦、ジブチ、エジプトなどである。新しい攻撃の感染パターンはSideWinderの以前のアタックチェーンと一致しているが、特定された不正RTFファイルは新たに更新されたシェルコードを実装している。このシェルコードによって、埋め込まれたJavaScriptのコードが実行され、これによりリモートサーバーから悪意のあるHTAをダウンロードするmshtaが実行されるようになる。最終的なペイロードも一貫して変わらないが、StealerbotをサイドロードするためのBackdoor Loaderの新たなバージョンを使用するようになった。

ソーシャルメディアを悪用するDesert Dexterのキャンペーン、AsyncRATでMENA地域を標的に

Positive Technologies – March 5, 2025

Positive Technologiesの研究者は2025年2月、ソーシャルメディアを使ってAsyncRATの修正版を配布するキャンペーンを特定した。このキャンペーンは昨年9月から実施されており、中東および北アフリカ（MENA）地域で約900組の被害者が標的にされている。攻撃者はFacebookに偽のニュースグループを作成し、ファイル共有サービスまたは正規メディア企業に扮したTelegramチャンネルへのリンクを含む広告を掲載。カスタムリフレクティブローダーを使ってAsyncRATの修正版を挿入し、このRATが修正されたIdSenderモジュールを使用して2要素認証（2FA）拡張機能とさまざまな暗号資産ウォレット拡張機能をチェックする。このマルウェアにはオフラインキーロガーも含まれ、Telegramボットと通信を行う。Telegramボットに送信されたメッセージとスクリーンショットに基づき、このキャンペーンに関与する脅威アクターはDesert Dexterの名で追跡されることとなった。

Blind Eagleがコロンビアの複数機関を攻撃、Remcos RATやその他のコモディティマルウェアを使用

Check Point – March 10, 2025

コロンビアの司法・政府機関を標的とし、2024年11月から続いている進行中のキャンペーンをCheck Pointの研究者が観察した。このキャンペーンへの関与が疑われるのは脅威アクターBlind Eagleで、同グループはHeartCryptなど追加のコモディティマルウェアを含めるようツールキットを拡張したようだ。最終的なペイロードはRemcos RATのままで、このマルウェアは正当なファイル共有プラットフォームでホストされている。同キャンペーンでは有害なURLファイルを配布してWebDAVリクエストをトリガーし、ユーザーとファイルのやり取りを監視して次の段階のペイロードをダウンロード・実行する。攻撃方法はCVE-2024-43451のエクスプロイトに似ているが、NTLMv2ハッシュは開示されない。また、2024年12月に観測されたキャンペーンでは1,600超の感染が確認され、通常は標的を絞り込むBlind Eagleのアプローチを考慮すると感染率がかなり高かったと指摘されている。