Stealth FalconがHorus Agentを展開、政府機関や防衛機関に対するスパイ活動が目的（CVE-2025-33053）

nosa

2025.06.13

ウィークリー・サイバーラウンド・アップ

Stealth FalconがHorus Agentを展開、政府機関や防衛機関に対するスパイ活動が目的（CVE-2025-33053）

Check Point – June 10, 2025

2025年3月、Check Pointの研究者はAPTグループ「Stealth Falcon」による攻撃活動を発見した。トルコ・カタール・エジプト・イエメンの政府機関や防衛機関を狙ったこの攻撃では、ゼロデイ（CVE-2025-33053）を悪用したURLファイルを利用してアクターが管理するWebDAVサーバーからマルウェアが実行される。Stealth Falconは、既存のエージェントまたはHorus Agentから派生したMythicフレームワークをベースにしたカスタムインプラントを展開する。感染の発端は、PDFに偽装されたアーカイブ添付ファイルにURLを含むスピアフィッシングメールだと考えられている。URLファイルはInternet Explorer用の正規の診断ユーティリティを起動する一方、攻撃者が管理するWebDAVサーバーからコードを密かに実行し、ユーティリティを欺いて悪意のあるプログラムを走らせる。実行ファイルはHorus Loaderと呼ばれる多段階ローダーで、おとりのPDFを開くとともにHorus Agentも展開する。CVE-2025-33053は2025年6月のマイクロソフト月例パッチで修正されている。

デイリーサイバーアラート

Silobreaker-CyberAlert

脆弱性

マイクロソフト、2025年6月の月例パッチで悪用確認のゼロデイ含む脆弱性66件に対処（CVE-2025-33053ほか）

佐々山 Tacos

2025.06.11

Silobreaker-CyberAlert

脆弱性

UNK_SneakyStrike ATOキャンペーン、TeamFiltrationを用いてMicrosoft Entra IDアカウントを狙う

Proofpoint – June 11, 2025

Proofpointの研究者により、「UNK_SneakyStrike」として追跡されているアクティブなアカウント乗っ取り（ATO）キャンペーンが発見された。ペネトレーションテストフレームワークTeamFiltrationを用いてMicrosoft Entra IDユーザーアカウントを標的とするこのキャンペーンは、2024年12月以降、約100のクラウドテナントにまたがる8万件以上のアカウントを狙い、複数のアカウント乗っ取りに成功している。攻撃者はMicrosoft Teams APIとさまざまな地域に設置されたAmazon Web Servicesサーバーを使い、ユーザーの列挙やパスワードスプレー攻撃を展開。これらの不正な活動は、主に米国やアイルランド、英国から行われている。TeamFiltrationは2021年1月に開発され、いくつかの戦術・技術・手順の自動化を支援。このツールはアカウントの列挙やパスワードスプレー攻撃、データ窃取、OneDriveを介したバックドア設置など複数の機能を提供する。

大手ブランドになりすます詐欺キャンペーンGhostVendors、Facebook Marketplace広告を不正に利用

Silent Push – June 9, 2025

Silent Pushの研究者が「GhostVendors」と呼ばれる偽マーケットプレイス詐欺キャンペーンを発見した。このキャンペーンは4,000以上の不正ドメインを悪用し、大手ブランドに扮して消費者を欺くもので、Facebook Marketplace広告とMeta広告ライブラリポリシーを不正に利用して偽広告を宣伝している。これらの広告は一定期間掲載された後に削除され、詐欺サイトもドメイン生成アルゴリズムを使って迅速に作成・削除されている。確認されたFacebook Marketplace広告の1つは「Millaeke」という名前を使い、Milwaukee Toolsを装って偽の工具製品を販売。このページには複数の広告が掲載されていたが、どの広告も5日後にMeta広告ライブラリから削除されている。研究者らはさらに、「Rabx-B」「Tools Clearence」「Holiday Celebration Sale」という名前で運営される同じ脅威アクターのFacebook Marketplace広告の例をほかにも複数特定。これらは、過去のコンテンツフィンガープリンティングに一致するドメインを宣伝していた。

Operation Phantom Enigma、有害なブラウザ拡張機能を使ってブラジルのユーザーを攻撃

Positive Technologies – June 3, 2025

Positive Technologiesの研究者により、2025年初頭から有害なブラウザ拡張機能を悪用してブラジルの利用者を標的とするフィッシングキャンペーン「Operation Phantom Enigma」が観測された。Eメールはインボイスを装い、受信者にリンクからファイルをダウンロード、またはアーカイブ内の悪意のある添付ファイルを開くよう仕向ける。攻撃には多数のファイル形式が使用され、有害なPowerShellスクリプトをダウンロードして実行するBATファイルや、PowerShellスクリプトを実行するInno Setupインストーラー、有害なブラウザ拡張機能をGoogle Chrome・Microsoft Edge・BraveにインストールするMSIファイルなどがある。有害な拡張機能はシステムの基本的な情報を収集し、C2サーバーに送信する。また、拡張機能には複数のJSファイルとマニフェストファイルが含まれており、URLパターンからBanco do Brasil（ブラジル銀行）のものだろうと推測できる。別パターンの攻撃では有害な拡張機能の代わりに、Mesh AgentやPDQ Connect Agentのようなリモートアクセスツールが展開される。

Operation DRAGONCLONE、VELETRIXとVShellで中国通信企業を標的に

Seqrite – June 6, 2025

Seqriteの研究者は2025年3月以降、VELETRIXローダーとVShellマルウェアを使い、中国の通信企業China Mobile Tietongを標的にした進行中のキャンペーン「Operation DRAGONCLONE」を確認した。このマルウェアは多段階の感染チェーンを通じて配布され、さまざまなファイルを含む有害なZIPファイルから始まり、修復ソフトWondershare Repairitに対してDLLサイドローディングを用いている。VELETRIXはインストールされた後、自動のサンドボックス分析から逃れるためにビープ音を鳴らし、NtDelayExecution技術で実行を遅らせた上に検出を回避。その後はDLLサイドローディング、IPFuscation、およびコールバックメカニズムを介したコードインジェクションを使ってメモリにVShellをインストールし、オペレーターとのC2通信を確立する。さらに研究者チームは、インフラが中国系脅威アクターのUNC5174およびEarth Lamiaと重複していることを確認した。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。