ロシア系アクターUNC6293のフィッシング攻撃キャンペーン、反露派のASPを標的に

nosa

2025.10.17

ウィークリー・サイバーラウンド・アップ

ロシア系アクターUNC6293のフィッシング攻撃キャンペーン、反露派のASPを標的に

Citizen Lab – June 18, 2025

Citizen LabとGoogleの研究者により、ロシアに批判的なことで知られる学者や人物を標的としたソーシャルエンジニアリング攻撃キャンペーンの詳細が明らかにされた。ロシア政府の関与が疑われるこのキャンペーンは遅くとも2025年4月から6月にかけて実施され、攻撃にはソーシャルエンジニアリングの手法を活用。ユーザーにアプリ固有のパスワード（ASP）を共有させ、メールボックスへの永続的なアクセスを確立している。このキャンペーンは2025年5月、ロシアの情報工作に詳しい著名な専門家のキール・ジャイルズ氏を狙い、米国務省職員を装った偽メールを送信。文書に安全にアクセスするため、GoogleメールアカウントのASPを作成させた。このキャンペーンはUNC6293によるものとされており、確度こそ低いものの同グループはAPT29との関連が疑われている。

Water CurseがGitHubプロジェクトを武器化し、SMTPメールボマーやSakura-RATを拡散

Trend Micro – June 16, 2025

GitHubを悪用して多段階型マルウェアを拡散する、進行中の新たなキャンペーンをトレンドマイクロの研究者が発見した。GitHubにホストされているSMTPメールボマーやSakura-RATといったツールに埋め込まれたマルウェアが認証情報やブラウザデータ、セッショントークンなどのデータを盗み出し、リモートアクセスと永続化を可能にする。このキャンペーンに関連付けられたGitHubアカウントは少なくとも76件存在し、有害ペイロードは正規のペンテストツールに偽装されたビルドスクリプトやプロジェクトファイルに埋め込まれている。感染チェーンではVisual Basic ScriptとPowerShellによる記述で難読化されたスクリプトが使われ、暗号化されたアーカイブのダウンロード、Electronベースのアプリケーションの抽出、広範なシステム偵察をそれぞれ実行。さらにスケジュールされたタスクとレジストリの変更を使い、長期的な永続性を確保する。このキャンペーンは、金銭目的の新たな脅威アクターWater Curseによるものとされている。

XDSpy関連のXDigoマルウェア、東ヨーロッパとロシアの政府組織を攻撃

Harfang Lab – June16, 2025

2025年3月から続く、東ヨーロッパやロシアの政府組織をXDigoマルウェアで攻撃するキャンペーンをHarfang Labの研究者が分析した。このキャンペーンはトレンドマイクロが最近発見したサイバースパイ活動を行うアクターに関連があるとみられ、LNKファイル内にコマンドラインを隠して有害なペイロードを実行している。感染チェーンはアーカイブファイルを解凍し、LNKファイルを開くことで開始され、正規の実行ファイルが有害なDLLをサイドローディングする。なお、このDLLは「ETDownloader」と称されるダウンローダーとしての役割を持っている。今回特定されたXDigoのサンプルは、カスペルスキーが2023年に文書化した類似のマルウェアをアップデートしたバージョンだと思われる。また、このキャンペーンは脅威アクターXDSpyの関与が疑われている。

Sorillus RATでヨーロッパの複数組織を攻撃するフィッシングキャンペーン

Orange Cyberdefense – June 16, 2025

Orange Cyberdefenseの研究者は、ヨーロッパの複数組織をSorillus RATで攻撃するキャンペーンの調査を行った。このキャンペーンは2025年3月にベルギーで初めて発見され、Orange Cyberdefenseの顧客が標的にされていたものの、その後にスペイン・ポルトガル・フランス・オランダの組織を標的とする大規模なキャンペーンに関連していることが判明した。初期アクセス獲得にはインボイス関連のフィッシングメールが使われ、これにはOneDrive上のPDFを開くリンクが含まれており、クリックするとngrokで公開されている悪意のあるサーバーへリダイレクトされる。このサーバーは被害者のブラウザ設定と言語設定を確認し、次の段階へ進むかどうかを判断。条件が合っている場合はJARファイルがダウンロードされ、永続性を確立した後にSorillus RATがインストールされる。このキャンペーンにはブラジルポルトガル語を話す脅威アクターが関与している可能性がある。