英内務省を装ったフィッシング攻撃、ビザスポンサーライセンス保有組織を標的に

nosa

2025.08.15

ウィークリー・サイバーラウンド・アップ

英内務省を装ったフィッシング攻撃、ビザスポンサーライセンス保有組織を標的に

Mimecast – August 12, 2025

Mimecastの研究者により、スポンサーライセンスを有する英国の組織を標的とした継続的なフィッシングキャンペーンが発見された。ビザスポンサーシッププログラムを管理する組織に加え、スポンサーシップ管理システム（SMS）のユーザーが特に狙われている。金銭的搾取や移民関連の詐欺活動、個人情報の窃取を行うためにSMSポータルのログイン認証情報を盗み出すことを目的とし、攻撃者は英内務省になりすましてライセンスの一時停止やコンプライアンス関連の緊急対応を求める偽メールを送信する。このメールにはCAPTCHAで保護されたページへのリンクが含まれ、公式SMSポータルを複製したフィッシングページにユーザーをリダイレクトさせ、管理システムの機能を使用するために必要だと称して認証情報を入力させることでIDとパスワードを盗み出す。侵害されたアカウントは通常、金銭目的でダークウェブフォーラムで販売される、あるいは移民詐欺に直接使用されるが、一部のアカウントは標的組織の恐喝に使われることもある。

TA558の関与が疑われるキャンペーン、ステガノグラフィでPureLogsやRemcosマルウェアを拡散（CVE-2017-11882）

ShadowOpCode – August 8, 2025

ShadowOpCodeの研究者は2025年7月から8月にかけて、イタリア語を話す個人を標的としたマルスパムキャンペーンを確認した。このキャンペーンでは請求書に関連したフィッシングメールにXLS文書を添付し、脆弱性CVE-2017-11882を悪用して多段階のドロッパー実行チェーンを開始する。また、同キャンペーンではJPG画像にBMPファイルを埋め込むステガノグラフィの手法で.NETペイロードを隠蔽し、最終的にDLLファイルに格納されたRemcosまたはPureLogsマルウェアを実行。ローダー内の変数名にイタリア語とフランス語、DLL内の用語にポルトガル語が使われている点は、かつてTA558のSteganoAmorキャンペーンに関連付けられたパターンと共通していた。手法や言語選択、ステージングロジックが重複している点についても、このキャンペーンの背後にTA558または同じツールセットを使うアクターが存在することを強く示唆していると、研究者らは中程度から高い確度で評価している。加えて、DuckDNSやngrokなどを使用するこのキャンペーンのインフラも以前報告されたTA558のクラスターと一致する。

パキスタン拠点のネットワークがSEOポイズニングでインフォスティーラーを拡散

CloudSEK – August 14, 2025

CloudSEKの研究者は、パキスタンを拠点とするネットワークからインフォスティーラーが拡散されていることを発見した。このネットワークはSEO（検索エンジン最適化）ポイズニングを活用するだけでなく、正規のオンラインフォーラムやプラットフォームを悪用し、ペイパーインストール（pay-per-install、PPI）スキームから金銭的利益を得ている。活動は2020年から続いており、需要の高いクラック版ソフトウェアに関する投稿を作成して被害者をWordPressサイトへ誘導し、パスワード保護されたアーカイブを介してLumma Stealer・Meta Stealer・Atomic macOS Stealerなどの情報窃取型マルウェアを配信する。脅威アクターは独自のPPIネットワークを運営しており、マルウェアのインストールに成功した際にはSpax MediaとInstallBankを用いて自身とアフィリエイトに報酬を支払う。現時点までに5,239組のアフィリエイトがネットワークを構成し、3,883件のサイトを運営している。計測期間中に総クリック数が4億4,900万回以上、インフォスティーラーのインストール数は188万回超を記録した。キャンペーンを通じての収益は467万ドル以上とされる。

PS1Botに感染させるキャンペーンを確認　キーロギング、データ盗難、永続化などにPowerShellコマンドを活用

Cisco Talos – August 12, 2025

2025年を通じ、マルバタイジングの手法で多段階マルウェアフレームワーク「PS1Bot」に感染させる進行中のキャンペーンをCisco Talosの研究者が確認した。PowerShellとC#で実装されたPS1Botはモジュール型のマルウェアで、キーロギングや情報窃取、偵察、そして永続化のためのモジュールを複数備えているが、これらは検出回避のためメモリ内で実行される。このマルウェアはダウンローダーとして機能するJavaScriptファイルを含む圧縮アーカイブを介して拡散され、JavaScriptファイルが実行されると必要な環境設定（C2接続を確立するためのPowerShellスクリプトの作成など）が行われる。追加で受信したコンテンツはInvoke-Expressionに渡された後、PowerShellプロセス内で実行され、これにより認証情報やセッショントークン、金融データが窃取可能になる。キャンペーンを通じて非常に活発な活動が見られ、新たなサンプルが過去数か月間で継続的に確認されている。また、PS1Botの設計と実装方法にはAHK Botマルウェアファミリと類似する点があり、このキャンペーンに関連する活動も以前報告されたSkitnetと重複する。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 : Weekly Cyber Round-up

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界

【無料配布中！】地政学情勢×サイバー動向の解説レポート

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。

序論
ハクティビズム
- ハクティビズムの変遷
- 戦争におけるハクティビズム
- 「選挙イヤー」におけるハクティビズム
- 絡み合う動機
- 国家の支援を受けたハッカー集団
偽情報
- 国家間対立
- 偽情報とロシア・ウクライナ戦争
- 偽情報とイスラエル・ハマス戦争
- 偽情報と選挙が世界にあふれた2024年
国家型APTの活動
- 中国
- ロシア
- 北朝鮮
- イラン
マルチチャネルインテリジェンスの運用化における課題と関連リスク