-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ウィークリー・サイバーラウンド・アップ
LameHugマルウェア、LLMを使いデータ窃盗と偵察用コマンドを生成
Bleeping Computer – July 17, 2025
ウクライナのCERT-UAは、大規模言語モデル(LLM)を使って侵害されたWindowsシステム上で実行するためのコマンドを生成する「LameHug」と呼ばれる新たなマルウェアファミリーを発見した。侵害されたアカウントから送信された悪意のあるメールが省庁職員を装い、行政機関にマルウェアを拡散しようとしているとの報告をCERT-UAが受けた後、2025年7月10日にLameHugが特定された。LameHugはPythonで書かれており、Hugging Face APIを使用したQwen 2.5-Coder-32B-Instruct LLMとの対話を通じて自然言語で書かれたプロンプトから複数の言語で実行コードやシェルコマンドを生成する。メールにはLameHugローダーを含むZIPファイルが添付されており、ローダーには少なくとも3つの亜種があることが確認されている。LameHugはシステム偵察やデータ窃盗のためのコマンドを実行し、システム情報を収集してTXTファイルとして保存。また、主要なWindowsディレクトリ上のドキュメントを再帰的に検索し、SFTPやHTTP POSTのリクエストを使ってデータを抽出する。
イランのセキュリティ会社、APT39による航空会社などへの攻撃を支援
Nariman Gharib – July 19, 2025
セキュリティ研究者Nariman Gharib氏は、イランのセキュリティ会社「Amnban, Sharif Advanced Technologies」から流出した一連の内部資料を分析した。この結果、イラン政府が関与しているとされる国際線搭乗客の個人情報を大量収集する作戦を同社が支援していることが明らかになった。流出した資料の詳細によると、Amnbanがイラン情報省(MOIS)とつながりのある脅威グループAPT39のもとで働いていることが示唆される。作戦ではエティハド航空、エミレーツ航空、カタール航空、ターキッシュエアラインズ、ウィズ・エアーなどの航空会社と、航空貨物運送企業が標的となっている。
APT41がアフリカの政府系ITサービスを標的に
カスペルスキーの研究者は、高度持続的脅威(APT)グループAPT41がアフリカの政府系ITサービスを組織的に攻撃していることを明らかにした。攻撃ではハードコードされた内部サービス名・IPアドレス・プロキシサーバーを埋め込んだマルウェアが使用される。使われたC2サーバーの1つは、被害者のインフラ内部の侵害されたSharePointサーバー。ImpacketツールキットのWmiExecモジュールの使用が観測されたことが攻撃の特定につながっており、攻撃者はスケジュール化されたタスクを作成するために同ツールキットのAtexecモジュールも使用していた。また、攻撃者は実行中のプロセスと占有ポートを調査する手前で作戦を一時中断したが、これはセキュリティソリューションがインストールされているかどうかを確認するためだったと思われる。DLLサイドローディングを介してCobalt Strikeとカスタムエージェントが最終的に配信され、機微情報を収集するPillager ユーティリティの改変版やRawCopy、Mimikatzも利用された。
npmメンテナのトークンを狙うフィッシングキャンペーン 有害パッケージのアップロードが目的
「npmjs[.]org」のドメインを使ったなりすましメールでタイポスクワットサイト「npnjs[.]com」 にユーザーを誘導し、npmメンテナのトークンを狙う現在進行中のフィッシングキャンペーンに関する警告をSocketの研究者が発した。メール本文に添付されたリンクから認証情報を窃取してメンテナのアカウントを乗っ取り、レジストリに有害なパッケージを直接公開することがこのキャンペーンの目的である。有害なパッケージはWindows端末上でDLLの実行を試み、リモートコード実行を行う可能性がある。有害なバージョンがリリースされたことが明らかになっているパッケージは「eslint-config-prettier」「eslint-plugin-prettier」「synckit」「@pkgr/core」「napi-postinstall」など。標的となるメンテナの数は今後も増えると見込まれているため、開発者はロックファイルや直近のインストールを確認するだけでなく、npmの2要素認証を有効化し、侵害を受けていないバージョンを固定するよう研究者が呼びかけている。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
