AiTMフィッシングキット・見積請求書ルアー・Microsoft OAuth偽装を利用したキャンペーン

nosa

2025.08.08

ウィークリー・サイバーラウンド・アップ

AiTMフィッシングキット・見積請求書ルアー・Microsoft OAuth偽装を利用したキャンペーン

Proofpoint – July 31, 2025

Proofpointの研究者は、2025年初頭からMicrosoft OAuthのアプリケーション作成と有害なURLへのリダイレクトを利用し、認証情報のフィッシングを容易にする活動クラスターの観測を続けてきた。偽のMicrosoft 365アプリケーションはRingCentral・SharePoint・Adobe・DocuSignなどのさまざまな企業のサービスになりすまし、多要素認証をバイパスする中間者攻撃（AiTM ）フィッシングキットのTycoon 2FAやODxを使用する。現在までに50以上のアプリケーションになりすましたメールキャンペーンが特定されており、一部のキャンペーンではクラウドテナントデータ上でその後の活動が観測された。メールは侵害されたアカウントから送信されることが多く、本文には見積依頼書（RFQ）ルアーとアプリケーションのMicrosoft OAuthページを開くURLが添付されている。アプリケーションはアクセス権限の許可を要求し、ユーザーを偽のCAPTCHAページにリダイレクトしてから偽のMicrosoft認証ページに誘導する。このキャンペーンは2025年に900以上のMicrosoft 365環境において合計3,000件のユーザーアカウントを攻撃し、侵害成功率が50％を記録。2025年4月下旬には運用インフラを移行し、以前使用していたロシアを拠点としたプロキシサービスから米国拠点のデータセンターホスティングサービスに切り替えた。

ヨーロッパの組織を狙ったフィッシング攻撃、RMMツールでリモートアクセスを取得

WithSecure – July 30, 2025

2024年11月以降、PDF文書に埋め込まれたリモート監視・管理（RMM）ツールを利用し、主にフランスとルクセンブルクの組織を標的とするフィッシング攻撃が増加していることをWithSecureの研究者らが確認した。このようなPDFの多くは実在する従業員になりすまして作成された請求書や契約書に偽装されており、被害者の具体的な業種に言及しつつもRMMベンダーが作成した直接ダウンロードリンクを有している。最近のキャンペーンでは、ZendeskがホストするURLからダウンロードされた有害PDFも使用されていた。RMMツールはFleetDeck・Action1・BlueTrait・OptiTune・Atera・Syncro・Super Ops・ScreenConnectなど、直接ダウンロードが可能、かつセットアップ要件が最小限であるものが採用されている。被害者が埋め込まれたリンクをクリックしてインストーラーを実行すると、攻撃者はRMMツールでリモートアクセスが可能になる。しかし、ある攻撃ではダウンロードリンクではなく、リダイレクトURL経由でScreenConnectが使用された。また、分析結果から作成者メタデータフィールドに7つの異なる値が存在していることが明らかになり、複数のフィッシング用文書生成ツールと文書編集プラットフォームが使われていることが示唆される。攻撃の地理的パターンによると脅威アクターは現地の言語やビジネス部門に精通し、ヨーロッパに拠点がある、またはヨーロッパに集中して存在していると見られている。

APT36の関与が疑われるフィッシング攻撃、インドの防衛機関を標的に

CYFIRMA – August 3, 2025

インドの防衛機関および関連政府機関を狙った高度な攻撃キャンペーンをCYFIRMAの研究者が特定した。このキャンペーンは政府公式ログインポータルを装った偽ドメインを用いて認証情報を盗み出すもので、多要素認証（MFA）をすり抜けるために被害者のパスワードだけでなく、政府Eメールサービスのセキュリティを強化するMFAアプリ「Kavach」が生成したワンタイムパスワードも要求する。関連インフラの分析により、同じようなパターンを用いる別のフィッシングキャンペーンのURLや、それぞれのドメインがほぼ同時期に登録されていたこともわかった。また、関連サブドメインの1つは、パキスタンのITサービス企業Zah Computersのコンテンツをホストしていることが判明している。研究者はZah Computersの存在について、共有または侵害されたインフラを使用して有害なコンテンツをホストしている、もしくはパキスタンに拠点を置く攻撃者が直接関与している可能性を示唆すると指摘した。タイポスクワッティングドメインや偽装ポータルなど、観測された戦術はAPT36のものと一致する。

PXA Stealerを拡散するキャンペーン、急速な進化で検出を回避

SentinelLabs – August 4, 2025

SentinelLabsとBeazley Securityの研究者により、急速に進化する新たなインフォスティーラーキャンペーンが発見された。2024年後半に始まったこのキャンペーンではPythonベースのPXA Stealerが配布され、流出したログから被害者のIPアドレスが現在までに4,000件以上確認されている。韓国・米国・オランダ・ハンガリー・オーストリアを中心に少なくとも62か国が標的にされ、盗まれたデータには20万件以上のパスワード、数百件のクレジットカード情報、400万件以上のブラウザCookieが含まれていた。このキャンペーンは当初、LummaC2とRhadamanthys Stealerを配布していたものの、その後にPythonベースのペイロードに移行。より巧妙なアンチ解析技術や、無害なデコイコンテンツ、強化されたC2パイプラインが組み込まれた。配布メカニズムはこれまでと変わらず、DLLサイドローディング、正規の署名付きソフトウェア、一般的なファイル形式に偽装して埋め込まれたZIPアーカイブが使われている。また、追加のペイロードはDropbox経由で配布され、盗んだデータは自動化されたボットネットワークを介してTelegram上で犯罪プラットフォームとして機能するボットサービス「Sherlock」へ持ち出される。このキャンペーンにはベトナム語を話す脅威アクターの関与が疑われており、同グループはサブスクリプション型のアンダーグラウンドエコシステムを通じて窃取データを収益化している。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 : Weekly Cyber Round-up

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界

【無料配布中！】地政学情勢×サイバー動向の解説レポート

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。

序論
ハクティビズム
- ハクティビズムの変遷
- 戦争におけるハクティビズム
- 「選挙イヤー」におけるハクティビズム
- 絡み合う動機
- 国家の支援を受けたハッカー集団
偽情報
- 国家間対立
- 偽情報とロシア・ウクライナ戦争
- 偽情報とイスラエル・ハマス戦争
- 偽情報と選挙が世界にあふれた2024年
国家型APTの活動
- 中国
- ロシア
- 北朝鮮
- イラン
マルチチャネルインテリジェンスの運用化における課題と関連リスク