APT36、インド政府機関が使うBOSS Linuxシステムを攻撃

nosa

2025.07.11

ウィークリー・サイバーラウンド・アップ

APT36、インド政府機関が使うBOSS Linuxシステムを攻撃

CYFIRMA – July 4, 2025

高度持続的脅威（APT）グループAPT36による、インドの防衛部門職員を標的としたサイバースパイキャンペーンをCYFIRMAの研究者が観測した。APT36はLinuxベースの環境を標的とする戦術を採用し、特にインド政府機関で利用されているBOSS Linuxのシステムを中心に攻撃を行っている。攻撃ではZIPファイルを添付したフィッシングメールが使用され、このファイルには有害な.desktopファイルが格納されている。ZIPファイルを展開すると、2つのファイルが同時にダウンロードされる。1つは正規のPowerPointファイルで、ダウンロード完了後に展開される。もう1つのファイルは悪意のあるELFバイナリであり、バックグラウンドでダウンロード・実行される。このELFバイナリにはさまざまな役割があるが、特にシステム偵察やデータ検出を行い、コマンド実行とデータ抽出のためにTCPリモート接続を確立し、C2サーバーと永続的な通信を行う目的で「setKeepAlive」と「setKeepAlivePeriod」の両機能を使用する。

IconAdsがアプリを使い、大量のインタースティシャル広告をAndroid端末で表示

HUMAN – July 2, 2025

HUMANの研究者は「IconAd」と称されるモバイル広告詐欺スキームを特定し、これを阻止した。このスキームでは352個のAndroidアプリが関与し、ピーク時には1日当たり12億件のビッドリクエストが処理されている。このうちブラジル・メキシコ・米国からのトラフィックが最も大きな割合を占めていた。IconAdsはHUMANの研究者が2023年から監視・阻止を行っているオペレーションの延長線上の活動ではあるものの、新たな戦術や最近の技術への適応も見られた。アプリはデバイス画面に脈絡のない広告を表示し、アプリアイコンを隠すことでユーザーによる特定・削除を困難にする。また、IconAdsは多層的な難読化を行い、アプリごとに個別のC2通信用ドメインを使用し、悪意のあるMAIN/LAUNCHERのactivity-aliasを使ってデフォルト設定を書き換える。IconAdsで使用されたアプリにはGoogle Playストアに擬態するものもあり、最近ではアプリがGoogle Playストアからインストールされたかどうかを確認する新機能も実装された。Googleは、Google Playを通じて報告されたアプリをすべて削除している。

DoNot APT、ヨーロッパ某国の外務省をLoptikModで攻撃

Trellix – July 8, 2025

ヨーロッパ某国の外務省を狙い、リモートアクセス型トロイの木馬LoptikModを展開する多段階のスピアフィッシング攻撃キャンペーンをTrellixの研究者が発見した。このキャンペーンの実行者は、高度持続的脅威（APT）グループDoNot APTとされる。同グループはヨーロッパの防衛当局関係者を装い、バングラデシュ訪問をほのめかして受信者にGoogleドライブの有害リンクをクリックさせ、不正なRARアーカイブを配布。このアーカイブにはPDF文書に偽装された実行ファイルが含まれ、実行時にミューテックスを作成することで、侵害されたシステム上のマルウェアのアクティブなインスタンスを1つのみに限定する。LoptikModには仮想マシン対策技術が採用され、感染の次の段階を処理すると思われるフォルダとBATファイルを生成。続いてシステムの詳細情報を収集し、AESを介してデータを暗号化した後、Base64でエンコードしてからHTTP POST経由で攻撃者が管理するドメインに送信する。その後、LoptikModはC2サーバーとの通信を確立してさらなるコマンドを受信し、追加のモジュールをダウンロード。さらに機微データを盗み出し、後続のペイロードを展開するかどうか判断する。

フィッシングキットLogokitを不正利用するキャンペーン、HunCERTログインポータルのユーザーを標的に

Cyble – July 7, 2025

フィッシングキットLogokitを不正に利用し、ハンガリー政府を標的とする攻撃キャンペーンをCybleの研究者が特定した。このフィッシングページはAmazon Web Servicesインフラ上に、具体的にはAmazon S3バケット上にホストされ、HunCERTの正規メールアドレスを使って正当なページに見せかけている。外観はHunCERTのログインページに近く、偽のCloudflare Turnstileを実装し、ユーザーが情報を送信するとエラーメッセージを表示する。このフィッシングサイトはClearbitロゴAPIを利用して標的組織のドメインを取得。さらにGoogle S2のファビコン取得機能を使い、ファビコンを入手する。このキャンペーンに結び付くドメインは、パプアニューギニアのキナ銀行や米国のカトリック教会、サウジアラビアの物流会社を装ったものなど、ほかの世界的なフィッシング攻撃との関連が指摘されている。このドメインは2024年10月に登録され、2025年2月からキャンペーンで使用されていた。同ドメインは引き続き稼働・機能しており、VirusTotalでは現時点で検出されていない。

Gold Melodyの関与が疑われるキャンペーン、マシンキーを悪用して標的組織にアクセス

Palo Alto Unit 42 – July 8, 2025

パロアルトネットワークスUnit 42の研究者により、初期アクセスブローカー「TGR-CRI-0045」の攻撃キャンペーンが発見された。このキャンペーンはASP[.]NETサイトで使われる流出済み暗号キーを悪用し、組織へのアクセスを取得するもの。同グループはASP[.]NET View Stateのデシリアライゼーション手法を使い、メモリ内で実行されるサーバーへのアクセスを提供する有害ペイロードに署名した。2025年1月30日から2月2日の間に2件のWebサーバー侵入が確認され、どちらのインシデントもインターネットインフォメーションサービス（IIS）のワーカープロセスからコマンドシェルが実行された。これらの悪用の試みはView Stateを標的とし、アプリケーション内で被害者が公開されている静的マシンキーを使用したことに起因すると思われる。このグループはysoserial[.]netペイロード生成ツール、独自のView Stateプラグイン、そしてXamlAssemblyLoadFromFileツールといったオープンソースツールを使用した可能性が高く、エクスプロイト後の活動にはメモリにロードされた5つの.NETアセンブリの使用、ローカル権限の昇格と永続化などが含まれる。TGR-CRI-0045は脅威アクター「Gold Melody」に関連している可能性があると、中程度の確度で評価されている。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。