Storm-2460のランサムウェア攻撃でモジュラー型バックドア「PipeMagic」が使われる

nosa

2025.08.22

ウィークリー・サイバーラウンド・アップ

Storm-2460のランサムウェア攻撃で利用されたモジュラー型バックドアPipeMagicを分析

マイクロソフト – Augusut 18, 2025

マイクロソフトの研究者は、Storm-2460が米国・ヨーロッパ・南アメリカ・中東地域への攻撃に使用したモジュラー型バックドア「PipeMagic」を分析した。このマルウェアはペイロードを動的に実行することができ、モジュール構造を採用することで攻撃者によるコード実行の制御を可能にしているため、検出と分析が困難になっている。PipeMagicはcertutilユーティリティを使用してダウンロードされた悪意のあるMSBuildによってメモリに投下され、実行されることが確認されている。その後、攻撃者はかつてゼロデイであったCVE-2025-29824を使い、Windows共通ログファイルシステム（CLFS）にランサムウェアを展開。PipeMagicはTCPを介してC2サーバーと通信を行いつつ、二重リンクリストを経由してステージング・実行・通信のためのペイロードモジュールを受信する。2024年10月にはカスペルスキーの研究者により、ChatGPTクライアントアプリに偽装されたPipeMagicが中東地域の組織に配信されたことも確認されているほか、2025年1月にはサウジアラビアとブラジルでもさらなる感染が観測された。PipeMagicの2025年版亜種は、永続性とラテラルムーブメント（横方向の移動）のメカニズムが強化されており、MicrosoftヘルプインデックスファイルとDLLハイジャックを介して配信されている。

政府の電力補助金を騙ったフィッシングキャンペーン、インドのAndroidユーザーを狙う

McAfee – August 18, 2025

インド政府系電力会社を装い、同国の利用者を狙うAndroidフィッシング攻撃キャンペーンをMcAfeeの研究者が発見した。この進行中のキャンペーンでは被害者を誘導して有害なアプリをダウンロードさせ、金融情報のみならずテキストメッセージも窃取するほか、登録されている連絡先へさらなるスミッシング攻撃のためのメッセージを送信し、FirebaseをC2通信のためのチャンネルとして利用する。この攻撃の発端となるのはYouTube上のプロモーション動画で、モバイルアプリを通じて政府系電力会社から補助金を受け取れるというメッセージを表示。動画の概要欄にはGitHub上でホストされ、インド政府公式ポータルサイトを模倣したフィッシングサイトにリダイレクトする短縮URLが記載されており、このサイトにはGoogle Playのアイコンも表示されている。誘導された被害者は偽の登録手続きを通じて偽アプリをダウンロードすることになり、正規のAPK「PMBY」に続いてセキュリティアップデートを装ったマルウェアのAPK「PMMBY」がインストールされる。インストールされたPMMBYアプリは過剰な権限を要求し、電力会社を選択するための偽の画面を表示。その後、被害者は偽の登録フォームに記入して支払いを完了するように求められるが、最終的には機微情報や金融情報を窃取される。

APT36がサイバースパイ活動を開始、標的はインドの政府・防衛機関

CloudSEK – August 21, 2025

CloudSEKの研究者は2025年8月、パキスタンの関与が疑われる高度持続的脅威（APT）グループ「APT36により、インドの政府機関および防衛機関を標的とした新たなサイバースパイ活動が開始されたことを確認した。攻撃では有害なLinuxの「.desktop」ショートカットを格納し、PDF文書に偽装されたフィッシングZIPファイルが利用され、Googleドライブからドロッパーペイロードがダウンロードされる。このマルウェアは16進ペイロードをデコードし、権限を調整してからドロッパーバイナリを実行。その後におとりのPDFファイルをFirefoxで開きつつ、ドロッパーがアンチデバッグおよびアンチサンドボックスチェックの実行、感染システムへの永続化の確立、WebSocket経由のC2サーバーへの接続試行など複数のアクションを行う。

Scaly Wolf、ロシアのエンジニアリング企業をUpdatarとMeterpreterバックドアで攻撃

Doctor Web – August 19, 2025

ロシアのエンジニアリング企業を狙い、2025年5月から6月にかけて実施された標的型サイバー攻撃の詳細をDoctor Webの研究者チームが発表した。攻撃者は金融関連のフィッシングメールにおとりのPDFまたはZIPアーカイブを添付し、有害な実行ファイルを配布。これにはカスタムモジュール型トロイの木馬UpdatarとMeterpreterバックドアに加え、各種オープンソースツールなどさまざまなマルウェアが採用されている。Updatarはファイル窃盗に使用され、Meterpreterの配布に使われるBITSタスクによって永続性を確立。オープンソースツールにはトンネリング用のChiselとFRP、認証情報ダンプユーティリティのHandleKatz、さらにRDP WrapperやRemComといったリモート管理ソフトウェアが含まれていた。攻撃者は「RockYou Obfuscation」という難読化手法を使ってUpdatarサンプルの解析を妨害するとともに、PowerShellコマンドとレジストリ編集でWindows DefenderとDr.Webの保護機能を無効化しようとした。このキャンペーンへの関与が特定されたのはAPTアクターのScaly Wolfで、その決め手はUpdatarモジュールとこれをサポートするマルウェアが、2023年に同じ企業を標的としたScaly Wolfの攻撃に関連するインフラとコードと重複することだった。最近の攻撃では、初期アクセスにMaaS（マルウェア・アズ・ア・サービス）を利用しなくなったことが判明している。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 : Weekly Cyber Round-up

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界

【無料配布中！】地政学情勢×サイバー動向の解説レポート

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。

序論
ハクティビズム
- ハクティビズムの変遷
- 戦争におけるハクティビズム
- 「選挙イヤー」におけるハクティビズム
- 絡み合う動機
- 国家の支援を受けたハッカー集団
偽情報
- 国家間対立
- 偽情報とロシア・ウクライナ戦争
- 偽情報とイスラエル・ハマス戦争
- 偽情報と選挙が世界にあふれた2024年
国家型APTの活動
- 中国
- ロシア
- 北朝鮮
- イラン
マルチチャネルインテリジェンスの運用化における課題と関連リスク