イランのEducated Manticore、イスラエルの研究者やサイバーセキュリティ専門家の認証情報を窃取

nosa

2025.06.27

ウィークリー・サイバーラウンド・アップ

イランのEducated Manticore、イスラエルの研究者やサイバーセキュリティ専門家の認証情報を窃取

Check Point – June 25, 2025

2025年6月中旬より、イランの脅威アクター「Educated Manticore」によるものとされるスピアフィッシングキャンペーンをCheck Pointの研究者が観測している。攻撃対象はイスラエルのジャーナリストや著名なサイバーセキュリティ専門家、国内の主要な大学に所属するコンピューターサイエンスの教授で、Educated Manticoreの目的は偽のGmail・Outlook・YahooのログインページやGoogle Meetの招待リンクを使って被害者の認証情報を窃取すること。EメールやWhatsAppのメッセージ上を使い、議論を求める研究者やジャーナリストになりすましてアプローチをかける。被害者の信頼を得るため、最初のメッセージにはリンクが一切含まれていないが、その後にカスタムフィッシングキットへのリンクが送信される。このフィッシングキットはReactで構築されたシングルページアプリケーションとして実装されており、動的ルーティングを使用する。また、盗んだデータを送信するためにリアルタイムのWebSocket接続を用いる。

地政学リスク

Flashpoint

ハクティビスト

地政学

中東での対立が激化：軍事・サイバー両面からイスラエル・イラン紛争を追跡

nosa

2025.06.23

Flashpoint

ハクティビスト

地政学

SVGスマグリングを使用するShadow Vectorキャンペーン、AsyncRATやRemcosRATでコロンビアを攻撃

Acronis – June 18, 2025

Acronisの研究者は「Shadow Vector」と呼ばれるスピアフィッシングキャンペーンを発見した。このキャンペーンの標的はコロンビアのユーザーで、裁判所からの緊急通知を装ったSVGを使ってAsyncRATやRemcosRATが配布される。フィッシングメールには、BitbucketやDiscord CDN、YDRAYといったパブリックなファイル共有プラットフォーム上でホストされたパスワード付きZIPアーカイブへのリンクが添付されている。このアーカイブには正規で無害なDLLと有害なDLLが含まれており、後者がサイドローディングされることでマルウェアは信頼されたプロセス内で実行され、検出を回避する。サーバー通信の確立後、このマルウェアは被害者の詳細情報を送信し、仮想通貨ウォレットと特定のブラウザ拡張機能の有無を確認。より新しいキャンペーンではモジュール式のアプローチが採用され、Katz Stealerに関連したローダーが展開される。

Silver Fox、トロイの木馬化された医療ソフトで医療機関と公共部門を標的に

Picus Security – June 18, 2025

Picus Securityの研究者により、高度持続的脅威グループSilver Foxによる多段階攻撃キャンペーンが特定された。トロイの木馬化された医療ソフトとクラウドインフラで医療提供組織を狙うこのキャンペーンは、Winos 4.0などのリモートアクセスツールを展開し、ウイルス対策を無効化して医療機関と公共部門の標的からデータを盗むことを目的としている。あるキャンペーンではPhilips DICOMビューア、EmEditor、システムドライバーユーティリティに埋め込まれたバックドアが第1段階のローダーとして機能し、Alibaba Cloudストレージから暗号化されたペイロードをダウンロードしていた。最終的にはWinos 4.0、キーロガー、暗号資産マイナーが展開され、永続性を維持するためのスケジュールタスクが登録されている。さらにSilver Foxは、Google Chrome、VPNクライアント、ディープフェイクツール、人工知能ツールなどのアプリケーションにバックドアを仕込んだインストーラーも利用。別のキャンペーンでは台湾国税局を装ったスピアフィッシングメールが配信された。同じく「Operation Holding Hands」と呼ばれるキャンペーンでは、デジタル署名された偽の給与通知で日本と台湾の組織が攻撃されている。

APT36のフィッシングキャンペーン、インドの防衛関係者を認証情報窃取マルウェアで攻撃

CYFIRMA – June 21, 2025

高度持続的脅威（APT）グループAPT36が極めて高度なフィッシングキャンペーンを通じ、インドの防衛関係者を盛んに攻撃していることをCYFIRMAの研究者が確認した。同グループが配信するフィッシングメールには政府の公式文書に見せかけた複数の有害なPDFファイルが添付されている。このPDFを開くとインドの国家情報学センターのログインインターフェースを模倣したフィッシングページへリダイレクトするリンクが表示され、最終的には正規アプリを装った認証情報窃取マルウェアを含むZIPアーカイブのインストールにつながる。このマルウェアはメモリ内で実行され、ユーザーセッションへの介入、コード挿入、検出回避、永続性の維持などさまざまな機能を備えている。

OneClikキャンペーンがClickOnceを悪用、RunnerBeaconでエネルギー・石油・ガス業界を狙う

Trellix – June 24, 2025

Trellixの研究者により、フィッシング攻撃とMicrosoft ClickOnceの脆弱性を悪用する高度なマルウェアキャンペーン「OneClik」が発見された。エネルギー・石油・ガス業界を狙ったこのキャンペーンではv1a、BPI-MDM、v1dと3つの亜種が確認され、いずれもAppDomainManagerハイジャックを使う.NETローダー「OneClikNet」を介してGo言語ベースのバックドア「RunnerBeacon」を展開する。またそれぞれの亜種は、高度な戦術とC2の難読化によって徐々に進化していることが判明した。攻撃者は偽の「ハードウェア分析」サイトへのリンクを記載したEメールを送信し、このサイトにアクセスした被害者を正規ツールに見せかけたClickOnceマニフェストへ誘導。C2インフラには正規のAWSクラウドサービスを使い、検出を回避している。この攻撃で使用された戦術、ツール、技術は中国関連の攻撃者のものと一致するが、明確に特定されていない。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。