Operation FishMedley：I-SOON関連の中国APTによるスパイキャンペーン

nosa

2025.10.21

ウィークリー・サイバーラウンド・アップ

スパイ活動キャンペーンOperation FishMedley、I-SOON関連のFishMonger APTが背後に存在

ESET – March 20, 2025

ESETの研究者により、2022年のスパイ活動キャンペーンOperation FishMedleyの詳細が報告された。APT（高度持続的脅威）アクターFishMongerの関与が特定されたこのキャンペーンは、台湾、ハンガリー、トルコ、タイ、フランス、米国の政府、宗教、NGO部門の少なくとも7組織を標的としていたことが判明。初期侵入ベクターについては不明だが、ドメイン管理者の認証情報などローカルネットワーク内の特権アクセスを取得したものと思われる。観察されたいくつかのケースでは、有害なインプラントの配布や侵害ネットワーク内でのラテラルムーブメントにImpacketが使用されていた。FishMonger APTはI-SOONの運用部門と考えられるグループで、Winnti Groupの傘下にあり、I-SOONのオフィスがある中国の成都に拠点を置いている可能性が高い。

APT36の関与が疑われるキャンペーン、インド郵便局の偽サイトでインド人を標的に

CYFIRMA – March 25, 2025

WindowsとAndroidのユーザーをそれぞれターゲットとする、インド郵便局を装ったフィッシングページをCYFIRMAの研究者が発見した。偽サイトにアクセスしたWindowsユーザーはクリップボードへのアクセス許可を求められ、PowerShell実行につながるClickFixの手順が記されたPDFをダウンロードするよう仕向けられる。一方、Androidユーザーは有害アプリをダウンロードするよう促され、広範な権限を要求するこのアプリが偽のGoogle Analyticsドメインを介してデータを盗み出す。また、同アプリはアイコンをGoogleアカウントのものに変え、アクティビティを隠すと共にアンインストールを防ぐだけでなく、カジノアプリを宣伝。カジノをプレイし始めたユーザーに対し、続行するにはウォレットへの入金が必要と称して銀行カードの詳細を入力させようとする。このキャンペーンにはパキスタンの脅威アクターAPT36が関与していると、中程度の確度で評価されている。

Semrushを装ったGoogle広告フィッシングキャンペーン、Googleのログイン認証情報の窃取が目的

Malwarebytes – March 20, 2025

Malwarebytesの研究者は、脅威アクターがGoogle広告を活用して偽のSemrushログインポータルを表示していることを確認した。このキャンペーンの目的はGoogleアカウントのログイン認証情報を盗むことで、SemrushのフィッシングページにはGoogleアカウントを使用してログインするオプションが表示されているが、Eメールとパスワードでログインするオプションは無効化されている。それぞれの広告には固有のドメイン名が使用され、被害者はそこから不正なSemrushのページとGoogleアカウントのログインページ専用の静的ドメインにリダイレクトされる。研究者は、GoogleアナリティクスやGoogleサーチコンソールのデータがSemrushのようなツールに統合されていることが多いと指摘した上で、ログイン認証情報の窃取によって機微情報が漏洩し、個人や企業のなりすましに悪用される可能性が高まると警告した。

偽求人スキームがポーランドの開発者をターゲットにFogDoorバックドアを展開

Cyble – March 24, 2025

Cybleの研究者により、ソーシャルエンジニアリングを利用してバックドア「FogDoor」を展開する偽求人キャンペーンが特定された。標的はポーランド語を話す求職中の開発者で、このバックドアは「FizzBuzz」と呼ばれるコーディング実技試験に偽装されており、被害者をだまして一見無害なJavaScriptの演習問題と悪意あるLNKショートカットを含むISOファイルをダウンロードさせる。このキャンペーンは偽求人スキームの枠を超えて拡大しており、新たに発見されたGitHubレポジトリではインボイスをテーマにしたLNKショートカットが配布されている。実行ファイルはまず被害者の所在地を特定し、実際にポーランド国内にいる場合にのみFogDoorを実行。続いてFogDoorがソーシャルメディアのプロファイルに埋め込まれた命令を取得してリモートコードを実行し、ブラウザのCookieやWiFiの認証情報、システムデータを盗み出す。