UNC6148、バックドア「OVERSTEP」でSonicWall SMA 100デバイスを標的に

nosa

2025.10.17

ウィークリー・サイバーラウンド・アップ

UNC6148、バックドア「OVERSTEP」でSonicWall SMA 100デバイスを標的に

Mandiant – July 17, 2025

金銭目的の脅威アクターUNC6148の関与が疑われる進行中のキャンペーンについて、Mandiantの研究者が確認した。このキャンペーンの標的は、パッチ適用済みかつサポートが終了したSonicWall Secure Mobile Access (SMA) 100シリーズのアプライアンス。これまで知られていなかったC言語ベースのバックドア／ユーザーモードルートキット「OVERSTEP」を展開し、アプライアンスの起動プロセスを改変して永続性を維持するだけでなく、認証情報を盗み出し、コンポーネントを隠蔽する。スキャン活動は遅くとも2024年10月に始まり、既知の脆弱性を悪用した上で、アプライアンスが更新される前に管理者の認証情報とワンタイムパスワード（OTP）シードを窃取しているようだ。また、アクセスに成功するとSSL-VPNセッションを確立し、おそらくゼロデイ脆弱性を悪用してリバースシェルを生成している。SonicWallは影響を受けたほかの組織に関する報告を確認し、OTPシードの変更を推奨するためにCVE-2024-38475のアドバイザリを更新した。OVERSTEPとその展開メカニズムはツール「wafxsummary」の直接的な進化型と思われるが、World LeaksやAbyssランサムウェアとの共通点も確認されているため、データリークと恐喝オペレーションの可能性が示唆されている。

中国が関与する複数の脅威アクター、台湾の半導体産業を標的にスパイ活動を展開

Proofpoint – July 16, 2025

2024年10月から2025年6月にかけて、Proofpointの研究者は中国の国家支援型脅威アクター4組が台湾の半導体産業を狙い、おそらくスパイ活動を目的としたスピアフィッシングキャンペーンを実施していることを確認した。まず2025年5月と6月には、UNK_FistBumpが侵害された大学メールアドレスから台湾を拠点とした半導体関連企業の採用担当者や人事担当者にフィッシングメールを送信。このEメールにはCobalt Strike BeaconとVoldemortバックドアの亜種を配信するアーカイブファイルまたはPDFファイルが添付されていた。一方、UNK_DropPitchは2025年4月と5月に複数の大規模投資銀行を狙ったキャンペーンを通じ、特に台湾の半導体や技術部門への金融投資分析を専門とした個人を集中的に攻撃した。このキャンペーンでは当初、フィッシングメール内のリンクからDLLサイドローディングされたHealthKickバックドアが配信されており、2025年5月からは生のTCPリバースシェルが使われるようになっている。また、2025年3月には追加のキャンペーンが確認され、UNK_SparkyCarpが中間者（AiTM）攻撃のカスタムフレームワークを利用して台湾の半導体関連企業にクレデンシャルフィッシング攻撃を仕掛けていた。UNK_ColtCenturyも2024年10月に同様の企業を標的にしていたことが確認されており、こちらはSparkRATバックドアを展開していたと推測される。

偽レシート生成ツールの増加が偽造品詐欺を助長

Group-IB – July 17, 2025

有名ブランドの偽レシートを作成し、偽造品や盗難品の転売を容易にする偽レシート生成ツールの増加についてGroup-IBの研究者が詳述した。著名な偽レシート生成ツールの1つ「MaisonReceipts」は1か月または永年の契約プランからなるサブスクリプション方式を採用しており、21を超えるブランドのレシートを生成できる。MaisonReceiptsはモバイルとデスクトップのプラットフォームに対応し、ドイツと米国のレシート形式が用意されているほか、複数の通貨でカスタマイズが可能。Telegram、YouTube、TikTok、Xなど多様なソーシャルメディアメッセージングアプリやソーシャルネットワークでツール紹介を展開しており、ユーザーはサブスク登録後にDiscordサーバーへのアクセスが許可される。このDiscordサーバーは現在3万人以上のメンバーをホストしており、リアルタイムのカスタマーサポートとして機能している。

偽求人情報を利用し、ユーザーの認証情報を窃取する大規模フィッシングキャンペーン

Fortra – July 10, 2025

Fortraの研究者は2025年6月、大手ブランドの偽求人情報を使った進行中の大規模フィッシングキャンペーンを観測した。このキャンペーンでは受信者の興味を引きそうな求人情報をEメールで通知し、2通目のEメールでリクルーターとの面談予約へ誘導。「面談予約」ボタンをクリックすると、受信者は脅威アクターが使うフィッシングキットまたはテンプレートに準じて異なるページにリダイレクトされる。あるパターンではCalendlyの偽サイトに転送させ、面談日時を選ばせてからFacebookの認証情報を要求し、これをTelegramのメッセージで脅威アクターに送信していた。そのほかには偽人材派遣会社のドメインにリダイレクトし、個人情報入力フォームに続いてGoogleのサインイン画面が表示されるパターンや、Red Bullの偽求人情報が利用されたケース、さらにはEメールにCAPTCHA画面へリダイレクトするリンクが含まれ、その後にGlassdoorを模倣した偽求人情報と偽のFacebookログインページが表示されるものもある。

東南アジア政府機関を狙うHazyBeaconバックドア

Palo Alto Unit 42 – July 14, 2025

2024年末以降、CL-STA-200として追跡される不審な活動を行うクラスターがこれまで知られていなかったWindowsバックドアHazyBeaconを使い、東南アジアの政府機関を攻撃しているとパロアルトネットワークスUnit 42の研究者が報告した。このキャンペーンの目的は、最近の関税や貿易戦争に関する内容を含む機微情報を収集すること。HazyBeaconのC2インフラにはAWS Lambda Function URLsが利用されている。AWS Lambda Function URLsはユーザーがHTTPS経由でサーバーレス関数を直接呼び出すことを可能にする機能であり、このため攻撃者は正規のAWS通信にC2通信を紛れ込ませることができる。このバックドアは正規のWindows実行ファイルと並行してDLLサイドローディングされることで展開され、「msdnetsvc」という名のWindowsサービスを作成する。これにより永続性が確立され、システムリブート後であってもHazyBeaconが確実に読み込まれるようになる。HazyBeaconは攻撃者の管理するLambda URLエンドポイントにビーコンを送信し始めた後、実行するコマンドとダウンロードする追加のペイロードを受信。標的のファイルはZIPファイルにコンパイルされ、Google DriveやDropboxを通じて収集される。