侵入セット「Houken」がIvantiのゼロデイ悪用しフランス企業を標的に（CVE-2024-8190、CVE-2024-8963、CVE-2024-9380）

ウィークリー・サイバーラウンド・アップ

侵入セット「Houken」がIvantiのゼロデイ脆弱性を悪用し、フランス企業のネットワークにアクセス（CVE-2024-8190、CVE-2024-8963、CVE-2024-9380）

French Cybersecurity Agency – July 1, 2025

2024年9月、フランス国家情報システムセキュリティ庁（ANSSI）は「Houken」と呼ばれる新たな侵入セットを観測した。攻撃者はIvanti Cloud Service Applianceのゼロデイ脆弱性を悪用し、フランス企業や政府組織のネットワークへの初期アクセスを取得していた。これらの脆弱性にはCVE-2024-8190、CVE-2024-8963、CVE-2024-9380が含まれ、リモートによる任意のコード実行にも利用されていた。主な目的は不正アクセスの仲介と思われるが、直接的なデータ窃取や暗号資産Moneroのマイナーをインストールした痕跡も確認されている。アクセスに成功した脅威アクターは、Base64形式にエンコードされたPythonスクリプトの実行を通じて認証情報を取得する一方、PHP Webシェルの展開または作成、既存のPHPスクリプトへのWebシェル機能の追加、そしてルートキットとして機能するカーネルモジュールのインストールなどを通じて永続性の確立を図っていた。攻撃者はまた、偵察活動やラテラルムーブメント、Webリソースへの自己パッチ適用も行った。ANSSIはHoukenの運用者について、過去にMandiantがUNC5174と名付けた脅威アクターではないかと疑っている。

Microsoft 365のDirect Send機能、社内ユーザーになりすましたフィッシングメールの送信に悪用される

Varonis – June 27, 2025

Microsoft 365のDirect Send機能を悪用して認証なしで内部ユーザーになりすますフィッシングキャンペーンをVaronisの研究者が発見した。このキャンペーンは2025年5月から継続しており、米国拠点の組織を中心に現在までに70組以上をフィッシングメールの標的にしている。確認されたフィッシングメールはボイスメール通知に似せた作りになっており、QRコードを記したPDFファイルが添付され、このQRコードでユーザーをMicrosoft 365の認証情報を収集するフィッシングページにリダイレクトさせていた。攻撃者はPowerShellを使ってスマートホスト経由でEメールを送信することにより、偽メールが正当な社内アドレスから送信されたように見せかけている。この手法が可能な理由としては、ログインや認証情報が不要なこと、スマートホストがあらゆる外部ソースからのEメールを受け入れること、受信者がテナントの社内ユーザーであればいいこと、そして「送信元」アドレスを任意の社内ユーザーに偽装できることが挙げられる。これらのフィッシングメールはマイクロソフトのインフラを経由してルーティングされるため、従来のメールセキュリティ機能も回避される。

世界的に有名な小売業者を装い、オンライン決済情報を盗むフィッシングキャンペーン

Silent Push – July 2, 2025

有名小売業者になりすまし、英語およびスペイン語のオンラインショップ利用客の支払いデータを盗むことを目的としたEコマースフィッシングキャンペーンの詳細をSilent Pushの研究者が明らかにした。現在も進行中のこのキャンペーンは、メキシコのセールイベント「Hot Sale 2025」の開催期間中にセキュリティ研究者のIgnacio Gómez Villaseñor氏が初めて発見。その後、AppleやHarbor Freight Tools、マイケル・コースのような有名ブランドの名をかたることで、メキシコのみならずより広範な顧客層をターゲットにしていることが判明した。また、脅威アクターはマスターカード・PayPal・Visaといったオンライン決済サービスを悪用して被害者の支払いを処理しており、一部のフィッシングサイトにはGoogle Payの支払いボタンも設置されている。フィッシングページの出来は千差万別で、本物のサイトからスクレイピングした商品リストや偽の購入手続きページが実装され本物らしく見えるものもあれば、ブランド名に誤字脱字があったり、実在しない商品を販売したりするようなものもある。

米政府組織DOGEを装ったフィッシングスキーム、個人情報窃取が目的か

FedScoop – June 30, 2025

CyberScoopとProofpointの研究者は、米政府効率化省（DOGE）を装った新たなフィッシングスキームを観測した。このキャンペーンは、同省によって削減された政府支出が直接還付されると信じる市民を騙して個人情報を盗むことを目的としている。大学・交通機関・政府機関を含む350組織以上のメールアドレス約1,800件にEメールが送られ、送信者は「政府・経済開発部（Division of Government & Economic Development）」に所属するDOGEのエージェントを名乗っていたが、このような部署は実在しない。Eメールの受信者には個別のIDを割り当て、DOGEのエージェントとメッセージでやりとりが行えることを知らせていた。また本文には、税金の還付を行う権限を持つDOGE職員と称する人物とのWhatsAppチャットにリダイレクトするリンクが含まれている。その後、還付の際に必要な情報を入力するためのPDFが送信され、個人情報を取得していた可能性が高い。このキャンペーンで使用されるIPアドレスはナイジェリア南部のものと思われる。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

ランサムウェアレポート：『2024 Ransomware? What Ransomware?』

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』

ダークウェブレポート『ディープ＆ダークウェブにおけるSNSアカウント売買とディープフェイク』