0bj3ctivityStealerを配布する世界規模のフィッシングキャンペーン、複数の部門が狙われる

ウィークリー・サイバーラウンド・アップ

0bj3ctivityStealerを配布する世界規模のフィッシングキャンペーン、複数の部門が狙われる

Trellix – July 28, 2025

Trellixの研究者チームにより、フィッシングメールを介して0bj3ctivityStealerを配信するキャンペーンが観測された。このキャンペーンは主に米国、ドイツ、モンテネグロを標的としているが、ヨーロッパ、北米、東南アジア、オーストラリアといった国々でも顕著な活動が確認され、最も狙われている部門には政府機関や製造業が挙げられる。フィッシングメールの件名には「見積りオファー」と記され、低画質の偽の注文書の画像が添付されているが、これをクリックするとMediaFireクラウドサービスでホストされたJavaScriptにリダイレクトされる。このJavaScriptは難読化されたPowerShellスクリプトで、ステガノグラフィーの手法で.NET DLL（VMDetector Loader）を隠蔽したJPG画像をダウンロード。 このVMDetector Loaderが永続化のためのスケジュールタスクを作成し、最終的なペイロードである0bj3ctivityStealerを取得する。0bj3ctivityStealerはプロセスホローイングを用いてRegasm実行ファイルに挿入されるが、ジャンクコード、関数名や変数名のランダム化、仮想環境の検出、文字列のエンコードを使って解析を回避している。このマルウェアはChrome・Edge・Geckoベースのブラウザデータ、インスタントメッセージングアプリの機微情報、メールの認証情報、暗号資産を狙い、盗んだ情報の持ち出しにはTelegramを使ったC2サーバーとの一方向通信を利用するものの、SMTPを使うオプションもあった。

オペレーションCargoTalon、ロシアの航空宇宙・防衛部門をバックドアEAGLETで攻撃

Seqrite – July 23, 2025

ロシアの航空宇宙・防衛部門をターゲットにしたオペレーション「CargoTalon」をSeqriteの研究者が観測した。この進行中のキャンペーンはヴォロネジ航空機合弁会社（VASO）の職員と軍の採用担当者を標的とし、スピアフィッシングメールを使って「EAGLET」と呼ばれるDLLインプラントを配布している。多段階の攻撃チェーンはDLLとLNKファイルを含む有害なZIP形式の添付ファイルから始まり、このLNKファイルが有害なDLLを実行。さらにおとりのポップアップウィンドウを表示し、PowerShellを使ってバックグラウンドでスクリプトを実行する。続いてEAGLETが実行されるが、インプラント内に埋め込まれたおとりのXLSファイルと一緒に実行される場合もある。このキャンペーンの脅威アクターはUNG0901として追跡されている。

SilverTerrier、BEC詐欺で世界の航空宇宙・運輸業界を標的に

KrebsOnSecurity – July 24, 2025

セキュリティ研究者のBrian Krebs氏により、運輸・航空業界を狙ったフィッシング攻撃の詳細が明らかにされた。ある事例では攻撃者が運輸業界の幹部を騙し、偽のMicrosoft 365ログインポータルに認証情報を入力させ、標的の受信トレイから請求書関連の過去のやり取りを盗み出している。攻撃者は一部のメッセージに新たな請求書の要求を付け加えてから、偽装ドメインを使ってその企業の顧客やパートナーに送信した。偽装ドメインに紐付けられたメールアドレスは、2024年または2025年に登録された少なくとも240件のフィッシングドメインに関連付けられている。これらのドメインのほぼすべてが航空宇宙または運輸業界のグローバル企業に関連する正規ドメインを模倣していた。攻撃に使われたインフラは、ナイジェリアに拠点を置くサイバー犯罪グループSilverTerrierに関連付けられている。

トルコの防衛産業を狙うDropping Elephant APT

Arctic Wolf – July 23, 2025

2025年7月にインド系サイバースパイグループ「Dropping Elephant」が実行しているとされる新たなキャンペーンをArctic Wolfの研究者が発見した。標的はトルコの軍事請負業者で、特に精密誘導ミサイルシステムの製造業者を狙っている。このキャンペーンが始まったタイミングはトルコとパキスタンの防衛協力の強化、およびインド・パキスタン間の軍事的緊張の高まりと重なっているため、地政学的な動機によるものである可能性が示唆される。Dropping Elephantは今年7月28〜29日にイスタンブールで開催された無人航空機学会への招待状を模したスピアフィッシングメールを介し、悪意のあるLNKファイルを配信していた。PowerShellをベースとした5段階の実行チェーンにより、有害なペイロードが送信される。加えて、攻撃者は検出回避策として正規のVLCメディアプレイヤーおよびMicrosoftタスクスケジューラのバイナリを悪用する。2024年11月にはx64 DLLの亜種を使っていたものの、現在はx86 PE実行可能ファイルの使用に移行しており、Dropping Elephantの攻撃能力は高度な発達を遂げていると推測される。ドメイン登録から攻撃実行までの間に2か月の準備期間があるため、このキャンペーンは標的の選定を含めて綿密に計画されていたことが伺える。

東南アジアの通信会社を大量のカスタムツールとバックドアで攻撃

Palo Alto Unit 42 – July 29, 2025

2024年2月から11月にかけて、パロアルトネットワークスUnit 42の研究者は東南アジアの通信会社を狙った複数のインシデントを観測した。CL-STA-0969として追跡されるこの活動は相互接続によるローミングネットワークを攻撃・悪用するだけでなく、将来的な運用を見込んで複数のツールを駆使して強固なリモート制御を構築する。SSHブルートフォースを介して初期アクセスを獲得し、その後にSLAPSTICKバックドアの機能と類似性が認められるAuthDoorバックドアや、ネットワークスキャンおよびパケットキャプチャユーティリティのCordScanを展開。ほかにもGTPDoor・EchoBackdoor・ChronosRAT・NoDepDNSといったバックドアを展開し、ファイアウォールによる制限やネットワーク侵入検知システムを回避するためにSGSN Emulator（sgsnemu）ツールも利用する。権限昇格にはCVE-2016-5195、CVE-2021-4034、CVE-2021-3156が使用され、多様なシェルスクリプトを用いてリバースSSHトンネルを確立。Microsocksプロキシやfrp（Fast Reverse Proxy）、Fscan、Responderも攻撃に使われている。CL-STA-0969の活動や標的の多くがLiminalPandaの活動と重複しているため、国家による関与が疑われている。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界

【無料配布中！】地政学情勢×サイバー動向の解説レポート

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。

目次

• 序論
• ハクティビズム
  • ハクティビズムの変遷
  • 戦争におけるハクティビズム
  • 「選挙イヤー」におけるハクティビズム
  • 絡み合う動機
  • 国家の支援を受けたハッカー集団
• 偽情報
  • 国家間対立
  • 偽情報とロシア・ウクライナ戦争
  • 偽情報とイスラエル・ハマス戦争
  • 偽情報と選挙が世界にあふれた2024年
• 国家型APTの活動
  • 中国
  • ロシア
  • 北朝鮮
  • イラン
• マルチチャネルインテリジェンスの運用化における課題と関連リスク

【無料配布中！】ランサムウェアレポート＆インテリジェンス要件定義ガイド

ランサムウェアレポート：『2024 Ransomware? What Ransomware?』

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

• 主なプレーヤーと被害組織
• データリークと被害者による身代金支払い
• ハクティビストからランサムウェアアクターへ
• 暗号化せずにデータを盗むアクターが増加
• 初期アクセス獲得に脆弱性を悪用する事例が増加
• 公に報告された情報、および被害者による情報開示のタイムライン
• ランサムウェアのリークサイト – ダークウェブ上での犯行声明
• 被害者による情報開示で使われる表現
• ランサムウェアに対する法的措置が世界中で増加
• サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
• 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件（PIR）を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。

＜ガイドブックの主なトピック＞

本ガイドブックでは、優先的インテリジェンス要件（PIR）の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

• 脅威プロファイルの確立
• ステークホルダーの特定・分析
• ユースケースの確立
• 要件の定義と管理
• データの収集と処理
• 分析と生産
• 報告
• フィードバック
• 実効性の評価