LameHugマルウェア、LLMを使いデータ窃盗と偵察用コマンドを生成 | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > ウィークリーサイバーダイジェスト > LameHugマルウェア、LLMを使いデータ窃盗と偵察用コマンドを生成

ウィークリーサイバーダイジェスト

Silobreaker-WeeklyCyberDigest

サプライチェーン

LameHugマルウェア、LLMを使いデータ窃盗と偵察用コマンドを生成

yab

2025.10.17

ウィークリー・サイバーラウンド・アップ

LameHugマルウェア、LLMを使いデータ窃盗と偵察用コマンドを生成

Bleeping Computer – July 17, 2025

ウクライナのCERT-UAは、大規模言語モデル(LLM)を使って侵害されたWindowsシステム上で実行するためのコマンドを生成する「LameHug」と呼ばれる新たなマルウェアファミリーを発見した。侵害されたアカウントから送信された悪意のあるメールが省庁職員を装い、行政機関にマルウェアを拡散しようとしているとの報告をCERT-UAが受けた後、2025年7月10日にLameHugが特定された。LameHugはPythonで書かれており、Hugging Face APIを使用したQwen 2.5-Coder-32B-Instruct LLMとの対話を通じて自然言語で書かれたプロンプトから複数の言語で実行コードやシェルコマンドを生成する。メールにはLameHugローダーを含むZIPファイルが添付されており、ローダーには少なくとも3つの亜種があることが確認されている。LameHugはシステム偵察やデータ窃盗のためのコマンドを実行し、システム情報を収集してTXTファイルとして保存。また、主要なWindowsディレクトリ上のドキュメントを再帰的に検索し、SFTPやHTTP POSTのリクエストを使ってデータを抽出する。

イランのセキュリティ会社、APT39による航空会社などへの攻撃を支援

Nariman Gharib – July 19, 2025

セキュリティ研究者Nariman Gharib氏は、イランのセキュリティ会社「Amnban, Sharif Advanced Technologies」から流出した一連の内部資料を分析した。この結果、イラン政府が関与しているとされる国際線搭乗客の個人情報を大量収集する作戦を同社が支援していることが明らかになった。流出した資料の詳細によると、Amnbanがイラン情報省(MOIS)とつながりのある脅威グループAPT39のもとで働いていることが示唆される。作戦ではエティハド航空、エミレーツ航空、カタール航空、ターキッシュエアラインズ、ウィズ・エアーなどの航空会社と、航空貨物運送企業が標的となっている。

APT41がアフリカの政府系ITサービスを標的に

SecureList – July 21, 2025

カスペルスキーの研究者は、高度持続的脅威(APT)グループAPT41がアフリカの政府系ITサービスを組織的に攻撃していることを明らかにした。攻撃ではハードコードされた内部サービス名・IPアドレス・プロキシサーバーを埋め込んだマルウェアが使用される。使われたC2サーバーの1つは、被害者のインフラ内部の侵害されたSharePointサーバー。ImpacketツールキットのWmiExecモジュールの使用が観測されたことが攻撃の特定につながっており、攻撃者はスケジュール化されたタスクを作成するために同ツールキットのAtexecモジュールも使用していた。また、攻撃者は実行中のプロセスと占有ポートを調査する手前で作戦を一時中断したが、これはセキュリティソリューションがインストールされているかどうかを確認するためだったと思われる。DLLサイドローディングを介してCobalt Strikeとカスタムエージェントが最終的に配信され、機微情報を収集するPillager ユーティリティの改変版やRawCopy、Mimikatzも利用された。

npmメンテナのトークンを狙うフィッシングキャンペーン 有害パッケージのアップロードが目的

Socket – July 19, 2025

「npmjs[.]org」のドメインを使ったなりすましメールでタイポスクワットサイト「npnjs[.]com」 にユーザーを誘導し、npmメンテナのトークンを狙う現在進行中のフィッシングキャンペーンに関する警告をSocketの研究者が発した。メール本文に添付されたリンクから認証情報を窃取してメンテナのアカウントを乗っ取り、レジストリに有害なパッケージを直接公開することがこのキャンペーンの目的である。有害なパッケージはWindows端末上でDLLの実行を試み、リモートコード実行を行う可能性がある。有害なバージョンがリリースされたことが明らかになっているパッケージは「eslint-config-prettier」「eslint-plugin-prettier」「synckit」「@pkgr/core」「napi-postinstall」など。標的となるメンテナの数は今後も増えると見込まれているため、開発者はロックファイルや直近のインストールを確認するだけでなく、npmの2要素認証を有効化し、侵害を受けていないバージョンを固定するよう研究者が呼びかけている。

関連記事:人気のnpmパッケージがメンテナのフィッシング被害により乗っ取られる

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up

【無料配布中レポート】

各種レポートを無料配布中!バナー画像よりダウンロード可能です。

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

ランサムウェアレポート:『2024 Ransomware? What Ransomware?』

インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ