Sednitの関与が疑われるOperation RoundPress、XSSを悪用したWebメールで政府機関などを標的に

nosa

2025.05.23

ウィークリー・サイバーラウンド・アップ

Sednitの関与が疑われるOperation RoundPress、XSSを悪用したWebメールで政府機関などを標的に

ESET – May 15, 2025

「Operation RoundPress」と呼ばれるロシアに関連したスパイ活動をESETの研究者が発見した。この活動はSpyPressマルウェアのさまざまな亜種を使用し、ヨーロッパやアフリカ、南アメリカの政府機関や防衛産業企業の価値の高いWebメールサーバーへの攻撃を行なっている。研究者は中程度の確度で、この活動がSednitグループによるものであると評価している。スピアフィッシングメールの本文は時事ニュース関連の文章を表示しているが、HTMLコードを確認すると悪意のあるJavaScriptが埋め込まれており、クロスサイトスクリプティング（XSS）の脆弱性を利用することで、ブラウザのウィンドウで開かれているWebメールクライアントのページ内でJavaScriptのコードを実行することが可能になる。SpyPressのJavaScriptペイロードは被害者が悪意のあるEメールを開くたびにリロードされ、Webメールの認証情報を窃取し、本文の内容や連絡先の情報を被害者の受信箱から収集する。

Hazy HawkがDNSの設定ミスを悪用、著名組織を攻撃

Infoblox – May 20, 2025

Infobloxの研究者はHazy Hawkと呼ばれる脅威アクターを特定した。この脅威アクターはDNSの設定ミスを悪用し、有名企業や組織が放棄したクラウドリソースを乗っ取る活動を遅くとも2023年12月から行なっている。同グループはドメインを乗っ取り、トラフィック分散システムを介して詐欺サイトやマルウェアにリダイレクトするURLのホストを行う。DNSレコードとそのリソースの欠落を発見できる能力を鑑みるに、Hazy Hawkは商用のパッシブDNSサービスへのアクセスが可能であると考えられる。CNAMEのハイジャックを行い、米国疾病予防管理センター（CDC）に属するアクティブでないAzure Webサイトを特定・再登録することで、2025年2月にはCDCのサブドメインを掌握した。これにより、CDCの公式サブドメインがポルノやスパム広告を参照するサブドメインに置き換えられた。このグループはフォーチュン 500企業や大学、その他の政府機関を標的としていることが確認されている。

Pythonデバッグユーティリティに偽装された有害なPyPIパッケージ、バックドアを仕込んでデータを窃取

ReversingLabs – May 15, 2025

ReversingLabsの研究者は2025年5月13日、新しい有害なPyPIパッケージ「dbgpkg」を発見した。このパッケージはPythonデバッグユーティリティに偽装されたもので、インストールされると開発者のシステムにバックドアが埋め込まれ、攻撃者に不正なコードを実行されて機微データの窃取を許す。また、このパッケージは関数ラッパーを作成し、標的のシステムにバックドアがすでにインストールされているかどうかを確認。さらに公開鍵のダウンロード、Global Socket Toolkitのインストール、非公開Pastebinへの暗号化された接続の抽出を含む3つのcurlコマンドを実行する。バックドアを設置する技法に共通点があることから、このパッケージはハクティビストグループPhoenix Hyenaとの関連が疑われているが、同グループを真似た何者かが攻撃を実行した可能性も指摘されている。

著作権侵害を装うルアー使い、ヨーロッパのメディア組織にRhadamanthysスティーラーを配布

Cybereason – May 21, 2025

著作権侵害を装ったルアーを使い、中央および東ヨーロッパのマルチメディア組織に情報窃取型マルウェアRhadamanthysの亜種を配布するフィッシングキャンペーンが2025年4月初旬から始まっている。Cybereasonの研究者が観測したこのキャンペーンは、ほかのマルウェアファミリーを拡散するキャンペーンと同様のフィッシングインフラや配信メカニズムを特徴としているため、ツールの共有やアフィリエイトモデルの採用、あるいはその他のグループとの協調的な活動が行われている可能性が示唆される。EメールにはPDF文書と思しきハイパーリンクが含まれており、ターゲットを新規登録ドメインに誘導。このドメインはMicrosoft Edge経由での接続を強制し、Mediafireからアーカイブをダウンロードするよう促す。ダウンロードされたファイルには、正規のHaihaisoft PDF Reader実行ファイルに加え、DLL検索順序ハイジャックによってPDFリーダーのプロセスにロードされた有害なDLLが含まれている。このマルウェアは実行されるとAutorunレジストリキーを通じて永続性を確立し、最終的にRhadamanthysをダウンロードする。

SideWinder APTが脆弱性を悪用し、StealerBotでアジアの政府機関を標的に（CVE-2017-0199、CVE-2017-11882）

Acronis – May 20, 2025

スピアフィッシングメールとジオフェンスされたペイロードを活用し、スリランカ、バングラデシュ、パキスタンの政府高官にStealerBotを配信するSideWinderの新たな多段階型APT（高度持続的脅威）キャンペーンをAcronisの研究者が発見した。SideWinderはMicrosoft WordファイルとRTFファイルを介してCVE-2017-0199およびCVE-2017-11882を悪用し、細工されたファイルが開かれるとリモートコード実行で標的のシステムに侵入。Eメールに添付されたMicrosoft WordファイルはRTFファイルのダウンロードに使用され、このRTFファイルがユーザーの操作なしに攻撃チェーンの次の段階をトリガーする。マルウェア配布に際しては、mshtaの悪用ではなく、シェルコードベースのローダーが引き続き利用されているようだ。シェルコードは標準のWindows APIの呼び出しを介し、埋め込まれたPEファイルをエクスプローラー実行可能ファイルに挿入。その後にDLLサイドローディングでStealerBotを配布する。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。