SVGファイルを活用したフィッシングキャンペーン、ウクライナを狙いCountLoader・Amatera・PureMinerを配信

ウィークリー・サイバーラウンド・アップ

SVGファイルを活用したフィッシングキャンペーン、ウクライナを狙いCountLoader・Amatera・PureMinerを配信

Fortinet – September 26, 2025

Fortinetの研究者は、ウクライナ国家警察を装うEメールを使ったフィッシングキャンペーンがSVGファイルを活用し、標的システムにマルウェアを配信していることを明らかにした。添付されたSVGファイルを開くと、Adobe Readeを模した偽インターフェースが表示され、パスワード保護されたアーカイブのダウンロードが始まる。アーカイブにはCHM（Compiled HTML Help）ファイルが含まれており、CountLoaderを介して最終的にAmatera StealerとPureMinerがインストールされる。この2つのマルウェアは、プロセスホローイングを用いた.NET Ahead-of-Time（AOT）コンパイルによって実行されるか、PythonMemoryModuleによって直接メモリにロードされる。実行後、Amateraはハードコードされた値でミューテックスを作成してからリモートサーバーに接続し、GETリクエストを送信して設定ファイルを取得する。このスティーラーはシステム情報・GeckoおよびChromiumベースのブラウザアプリの関連ファイル・デスクトップウォレットなど、さまざまなデータを収集する。また、最近のキャンペーンではAmateraのみが配信され、配信段階でより強力な難読化技術を使っていることが確認されている。

ヨーロッパを襲うスミッシングキャンペーン、セルラールーターのAPIを悪用

Sekoia – September 30, 2025

2025年7月22日以降、Sekoiaの研究者はセルラールーターのAPIを悪用してスミッシングメッセージを送信するキャンペーンを観測している。フィッシングに使われるURLはベルギー政府が使用する著名なプラットフォーム（CSAMとeBox）のURLをタイポスクワッティングしたもので、メッセージ本文がオランダ語とフランス語で書かれていることから、主な攻撃対象はベルギーと推測される。このキャンペーンではMilesight製産業用セルラールーターが標的にされており、すでに1万9,000台以上のルーターがネットに露出。そのうち少なくとも572台は脆弱な状態になっている可能性がある。このようなルーターの半数以上がヨーロッパ内に存在している。ハニーポットのログによると、ルーターのAPIへのアクセスには認証Cookieが使われているため、攻撃者は有効な認証情報を保有していると考えられる。認証情報は複数のMilesight製ルーターに影響を与える脆弱性（CVE-2023-43261）を通じて取得されたと見られているが、SMSルーターAPIへのアクセスやスミッシングメッセージの送信には設定ミスが悪用されている可能性もある。脆弱なルーターのほとんどが古いファームウェア（主にバージョン32.2.x.xおよび32.3.x.x）を使っているものの、最新バージョン（41.0.0.2および41.0.0.3）でありながらも侵害されたルーターが2台ほど確認されている。このキャンペーンは遅くとも2022年2月から活動を行っており、フランス・スウェーデン・イタリア・シンガポール・ノルウェー・ポルトガル・ハンガリーを狙っていたことも明らかになっている。

TradingView公式装うのマルバタイジングキャンペーン、Google広告とYouTubeにも拡大

Bitdefender – September 25, 2025

Bitdefenderの研究者チームは、これまでFacebook広告を悪用してTradingView Premiumなど各種取引・金融プラットフォームへの「無料アクセス」を提供していたマルバタイジングキャンペーンが、YouTubeとGoogle広告も使う形へ拡大されていることを確認した。攻撃者はノルウェーのデザイン会社が所有するGoogle広告アカウントに加え、別のYouTubeアカウントも乗っ取った上で、Google広告システムを介して被害者を誘導している。乗っ取られたYouTubeチャンネルには限定公開動画が投稿され、動画の概要欄にマルウェアのダウンロードや認証情報の窃取を目的としたページへのリンクが含まれる。配布されているマルウェアは過去の事例で確認されたものと共通しており、新しいサンプルは通信にWebSocketプロトコル（30000番ポート、/configルート）を使用。初期ダウンローダーは検知を回避するためにカスタムビルドされ、過去のインフォスティーラー（情報窃取型マルウェア）キャンペーンと同様の技術で多段階感染を行う。このマルウェアはPostHogを使ってユーザーの行動を追跡し、スケジュールされたタスクを作成してシステムに常駐。自らをWindows Defenderの除外設定に追加し、最終的にJSCEALと呼ばれるマルウェアをダウンロード・実行する。

GuLoaderキャンペーン、フランス語圏の企業を標的にMassLoggerを配布

Broadcom – October 1, 2025

モロッコの有名リゾート／イベント運営企業を装い、情報窃取型マルウェア「MassLogger」を拡散する新たなGuLoaderキャンペーンをSymantecの研究者チームが観測した。同キャンペーンでは標的企業宛に偽の見積依頼メールが送信され、その添付ファイルにVBSスクリプトを組み込んだ有害なBZ形式のアーカイブファイルが含まれている。このスクリプトを実行するとGuLoaderの感染チェーンが始まり、最終的にMassLoggerがインストールされる。主なターゲットはフランス、モロッコ、チュニジア、ベルギー、マダガスカルなどフランス語圏の企業だが、ヨーロッパのその他地域を含む広範囲でも活動が確認された。標的にされている部門は金融・銀行、保険、自動車製造・流通、産業機器・エンジニアリングなど多岐にわたる。

【開催決定！】日本最大級サイバー（脅威）インテリジェンスイベント

サイバーインテリジェンスイベント「Cyber Intelligence Summit 2025」を11月に開催します！

サイバー脅威インテリジェンスとセキュリティ戦略についての国際セキュリティカンファレンス「Cyber Intelligence Summit 2025」を2025年11月5日〜7日、ベルサール虎ノ門にて開催します。

3大メガバンクスペシャル対談に加え、JC3、公安調査庁、楽天、リクルート、パナソニックなどからスペシャリストが登壇！海外からもアナリストや専門家が多数登壇予定です！

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。

翻訳元 :  Weekly Cyber Round-up

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

ランサムウェアレポート：『2024 Ransomware? What Ransomware?』

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件（PIR）を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。