-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ウィークリー・サイバーラウンド・アップ
Google広告上で宣伝されていた有害なAppSuite PDF EditorがTamperedChefを配布
Google広告を使って偽Webサイトへ被害者を誘導し、情報窃取型マルウェア「TamperedChef」を含むトロイの木馬化したPDFエディタをダウンロード・インストールさせるキャンペーンをTruesecの研究者が観測した。広告は無料のPDFエディタ「AppSuite PDF Editor」を配信するサイトをいくつも宣伝しており、AIまたは大規模言語モデルを使用して作られたと思われる当該のエディタのコードは高度に難読化されていた。このキャンペーンの開始日は2025年6月26日とされているが、2025年5月15日の時点でAppSuite PDF Editorは解析のためすでにVirusTotalへ提出されていた。インストールファイルを実行するとエンドユーザーライセンス契約が表示され、その後、エディタはあるURLから有害な実行ファイルをダウンロード。インストール完了後、エディタは複数のGETリクエストを送信しつつ、タスクスケジューラーやレジストリキーを設定して永続性を獲得する。2025年8月21日以降に発生したTamperedChefに関連する複数のインシデントでは、さまざまなブラウザを終了させて認証情報やWeb Cookieなどの機微データを収集していた。また、このキャンペーンの背後にいる脅威アクターは、遅くとも2024年8月から活動を続けている。AppSuite PDF EditorとOneStartブラウザの間には類似点が見つかっているため、両アプリケーションの背後には同じ脅威アクターの存在が示唆されている。
Silver Fox APTが脆弱なWatchDogドライバーを悪用、検出を回避してValleyRATを配信
Check Point Research – August 28, 2025
Check Pointの研究者らは、Silver Fox APT(高度持続的脅威)グループの関与が疑われる、未知の脆弱なWatchDogアンチマルウェアドライバーを悪用した現在進行中の攻撃キャンペーンを発見した。このドライバーはセキュリティソリューションに関連するプロセスを終了することで、エンドポイントの検出と応答(EDR)や最新版のWindows 10/11に搭載されたアンチウイルスを回避する。このキャンペーンの最終的な狙いは、リモートアクセス型トロイの木馬「ValleyRAT」を配布すること。Silver FoxはWindowsの複数のバージョンで動作するよう2種類のドライバーを採用しており、レガシーシステムには既知の脆弱性を持つZemanaドライバーを、最新環境には未検出のWatchDogドライバーを使用する。どちらのドライバーも単一の自己完結型ローダーに組み込まれており、このローダーにはアンチ解析レイヤーとValleyRATダウンローダーも含まれていた。マルウェアが実行ファイルを内蔵したRARアーカイブ、またはDLLサイドローディングを介して配信された後、将来的な永続性とC2通信を目的としたサービスが確立される。Microsoftが署名済みのこのドライバーはZemana Anti-Malware SDKを基に構築され、「Microsoftが推奨するドライバーブロックの規則」をすり抜け、コミュニティプロジェクトによっても検出されない。また、発見されたC2サーバーはどれも中国国内でホストされていた。WatchDogのドライバーのうちamsdk[.]sysのバージョン1.0.600が影響を受けたため、同社はすべての製品をwamsdk[.]sysのバージョン1.1.10に更新している。
Sindoor Dropperスピアフィッシングキャンペーン、MeshAgent搭載のLinuxシステムを標的に
Nextronの研究者により、.desktopファイルを使ってLinuxシステムを狙うスピアフィッシングキャンペーン「Sindoor Dropper」が発見された。同キャンペーンの最終目的はMeshAgentの配布で、ペイロードが展開されるとアクティビティの監視、ラテラルムーブメント、永続的なアクセスに加えてデータ窃取など、標的システムへの完全なリモートアクセスが可能になる。有害な.desktopファイルは実行されると、一見無害に見えるおとりのPDF、破損した復号ツール、そして暗号化されたダウンローダーをダウンロードする。この復号ツールはUPXでパックされたGoバイナリで、Googleドキュメントによるスキャンを回避すべくELFファイルとして識別するためのマジックナンバーが削除されており、AES暗号化とペイロードの実行を担う。第二段階のペイロードは復号後、UPX圧縮のGoドロッパーとして機能し、AESで暗号化されたペイロードとともに別の復号ツールをドロップ。復号プロセスは最終的にMeshAgentの展開で終了する。この攻撃で使用された手法はAPT36に関連付けられており、「Operation Sindoor」を想起させる。
トロイの木馬化されたScreenConnectインストーラーを使い、AsyncRATなど複数のRATを展開
Acronisの研究者は2025年3月以降、トロイの木馬化されたScreenConnectインストーラーを使って初期アクセスを獲得し、複数のリモートアクセス型トロイの木馬(RAT)を展開する攻撃が増えていることを確認した。米国拠点の複数組織が標的にされており、最近の攻撃ではよりサイズの小さなClickOnceランナーインストーラーが展開されているが、これは従来のフルインストーラーより回避性が高いため攻撃者にデバイスの完全な制御を許してしまう。攻撃はソーシャルエンジニアリングキャンペーンから始まっているとみられ、被害者を誘導し、二重拡張子でPDF文書に見せかけた有害な実行ファイルをダウンロードさせるものの、このファイルがClickOnceインストーラーになっている。実行されたインストーラーはScreenConnectを起動し、被害者のマシンを攻撃者のC2サーバーに接続。インストールプロセス中にAsyncRATのほか、基本的な機能を提供する自作のRATという2つのペイロードをドロップする。最初の侵害から2週間後、攻撃者はScreenConnectへのアクセスを悪用し、刷新された感染チェーンからAsyncRATのアップデート版を展開。その数週間後にはWindows Management Instrumentation(WMI)を悪用し、PureHVNC RATを展開していた。ScreenConnectインストーラーに関連するドメインは、XWormおよびDCRatと関係があることも確認されている。
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
Silobreakerについて
Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。
インテリジェンスツール”Silobreaker”で見える世界
以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。
【無料配布中!】地政学情勢×サイバー動向の解説レポート
レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』
以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。
目次
- 序論
- ハクティビズム
- ハクティビズムの変遷
- 戦争におけるハクティビズム
- 「選挙イヤー」におけるハクティビズム
- 絡み合う動機
- 国家の支援を受けたハッカー集団
- 偽情報
- 国家間対立
- 偽情報とロシア・ウクライナ戦争
- 偽情報とイスラエル・ハマス戦争
- 偽情報と選挙が世界にあふれた2024年
- 国家型APTの活動
- 中国
- ロシア
- 北朝鮮
- イラン
- マルチチャネルインテリジェンスの運用化における課題と関連リスク
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
とは?.jpg)
