SVGファイルを活用したフィッシングキャンペーン、ウクライナを狙いCountLoader・Amatera・PureMinerを配信

ウィークリー・サイバーラウンド・アップ

SVGファイルを活用したフィッシングキャンペーン、ウクライナを狙いCountLoader・Amatera・PureMinerを配信

Fortinet – September 26, 2025

Fortinetの研究者は、ウクライナ国家警察を装うEメールを使ったフィッシングキャンペーンがSVGファイルを活用し、標的システムにマルウェアを配信していることを明らかにした。添付されたSVGファイルを開くと、Adobe Readeを模した偽インターフェースが表示され、パスワード保護されたアーカイブのダウンロードが始まる。アーカイブにはCHM（Compiled HTML Help）ファイルが含まれており、CountLoaderを介して最終的にAmatera StealerとPureMinerがインストールされる。この2つのマルウェアは、プロセスホローイングを用いた.NET Ahead-of-Time（AOT）コンパイルによって実行されるか、PythonMemoryModuleによって直接メモリにロードされる。実行後、Amateraはハードコードされた値でミューテックスを作成してからリモートサーバーに接続し、GETリクエストを送信して設定ファイルを取得する。このスティーラーはシステム情報・GeckoおよびChromiumベースのブラウザアプリの関連ファイル・デスクトップウォレットなど、さまざまなデータを収集する。また、最近のキャンペーンではAmateraのみが配信され、配信段階でより強力な難読化技術を使っていることが確認されている。

ヨーロッパを襲うスミッシングキャンペーン、セルラールーターのAPIを悪用

Sekoia – September 30, 2025

2025年7月22日以降、Sekoiaの研究者はセルラールーターのAPIを悪用してスミッシングメッセージを送信するキャンペーンを観測している。フィッシングに使われるURLはベルギー政府が使用する著名なプラットフォーム（CSAMとeBox）のURLをタイポスクワッティングしたもので、メッセージ本文がオランダ語とフランス語で書かれていることから、主な攻撃対象はベルギーと推測される。このキャンペーンではMilesight製産業用セルラールーターが標的にされており、すでに1万9,000台以上のルーターがネットに露出。そのうち少なくとも572台は脆弱な状態になっている可能性がある。このようなルーターの半数以上がヨーロッパ内に存在している。ハニーポットのログによると、ルーターのAPIへのアクセスには認証Cookieが使われているため、攻撃者は有効な認証情報を保有していると考えられる。認証情報は複数のMilesight製ルーターに影響を与える脆弱性（CVE-2023-43261）を通じて取得されたと見られているが、SMSルーターAPIへのアクセスやスミッシングメッセージの送信には設定ミスが悪用されている可能性もある。脆弱なルーターのほとんどが古いファームウェア（主にバージョン32.2.x.xおよび32.3.x.x）を使っているものの、最新バージョン（41.0.0.2および41.0.0.3）でありながらも侵害されたルーターが2台ほど確認されている。このキャンペーンは遅くとも2022年2月から活動を行っており、フランス・スウェーデン・イタリア・シンガポール・ノルウェー・ポルトガル・ハンガリーを狙っていたことも明らかになっている。

TradingView公式装うのマルバタイジングキャンペーン、Google広告とYouTubeにも拡大

Bitdefender – September 25, 2025

Bitdefenderの研究者チームは、これまでFacebook広告を悪用してTradingView Premiumなど各種取引・金融プラットフォームへの「無料アクセス」を提供していたマルバタイジングキャンペーンが、YouTubeとGoogle広告も使う形へ拡大されていることを確認した。攻撃者はノルウェーのデザイン会社が所有するGoogle広告アカウントに加え、別のYouTubeアカウントも乗っ取った上で、Google広告システムを介して被害者を誘導している。乗っ取られたYouTubeチャンネルには限定公開動画が投稿され、動画の概要欄にマルウェアのダウンロードや認証情報の窃取を目的としたページへのリンクが含まれる。配布されているマルウェアは過去の事例で確認されたものと共通しており、新しいサンプルは通信にWebSocketプロトコル（30000番ポート、/configルート）を使用。初期ダウンローダーは検知を回避するためにカスタムビルドされ、過去のインフォスティーラー（情報窃取型マルウェア）キャンペーンと同様の技術で多段階感染を行う。このマルウェアはPostHogを使ってユーザーの行動を追跡し、スケジュールされたタスクを作成してシステムに常駐。自らをWindows Defenderの除外設定に追加し、最終的にJSCEALと呼ばれるマルウェアをダウンロード・実行する。

GuLoaderキャンペーン、フランス語圏の企業を標的にMassLoggerを配布

Broadcom – October 1, 2025

モロッコの有名リゾート／イベント運営企業を装い、情報窃取型マルウェア「MassLogger」を拡散する新たなGuLoaderキャンペーンをSymantecの研究者チームが観測した。同キャンペーンでは標的企業宛に偽の見積依頼メールが送信され、その添付ファイルにVBSスクリプトを組み込んだ有害なBZ形式のアーカイブファイルが含まれている。このスクリプトを実行するとGuLoaderの感染チェーンが始まり、最終的にMassLoggerがインストールされる。主なターゲットはフランス、モロッコ、チュニジア、ベルギー、マダガスカルなどフランス語圏の企業だが、ヨーロッパのその他地域を含む広範囲でも活動が確認された。標的にされている部門は金融・銀行、保険、自動車製造・流通、産業機器・エンジニアリングなど多岐にわたる。

【開催決定！】日本最大級サイバー（脅威）インテリジェンスイベント

サイバーインテリジェンスイベント「Cyber Intelligence Summit 2025」を11月に開催します！

サイバー脅威インテリジェンスとセキュリティ戦略についての国際セキュリティカンファレンス「Cyber Intelligence Summit 2025」を2025年11月5日〜7日、ベルサール虎ノ門にて開催します。

3大メガバンクスペシャル対談に加え、JC3、公安調査庁、楽天、リクルート、パナソニックなどからスペシャリストが登壇！海外からもアナリストや専門家が多数登壇予定です！

開催概要

名 称：Cyber Intelligence Summit 2025

日 程：2025年11月5日（水）、6日（木）、7日（金）

会 場：ベルサール虎ノ門（オンライン配信無し）

主 催：株式会社マキナレコード

料 金：フルパス ¥10,000｜展示パス 無料

翻 訳：英日同時通訳付き

登 録：特設サイトより事前登録

Day,01&02　一般企業中心（官公庁の方も歓迎）

民間企業においてサイバー脅威インテリジェンスに携わる部門のご担当者（情報セキュリティ部門、リスク管理、経営企画、IT・CISO室など）、またはその関連分野に関心をお持ちの方。官公庁・自治体のサイバー対策・情報分析部門にご所属の方もご参加いただけます。

Day,03　官公庁限定（主に法執行機関）

国内の官公庁、自治体、法執行機関（警察庁・都道府県警察、防衛省関連機関等）において、サイバー対策、情報保全、脅威インテリジェンス業務に携わる職員の方。

※Day3は官公庁、自治体、法執行機関所属の方に限りご参加いただけます。

※個人名義や企業所属でのご登録はできません。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界

【無料配布中！】地政学情勢×サイバー動向の解説レポート

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。

目次

• 序論
• ハクティビズム
  • ハクティビズムの変遷
  • 戦争におけるハクティビズム
  • 「選挙イヤー」におけるハクティビズム
  • 絡み合う動機
  • 国家の支援を受けたハッカー集団
• 偽情報
  • 国家間対立
  • 偽情報とロシア・ウクライナ戦争
  • 偽情報とイスラエル・ハマス戦争
  • 偽情報と選挙が世界にあふれた2024年
• 国家型APTの活動
  • 中国
  • ロシア
  • 北朝鮮
  • イラン
• マルチチャネルインテリジェンスの運用化における課題と関連リスク

【無料配布中！】ランサムウェアレポート＆インテリジェンス要件定義ガイド

ランサムウェアレポート：『2024 Ransomware? What Ransomware?』

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

• 主なプレーヤーと被害組織
• データリークと被害者による身代金支払い
• ハクティビストからランサムウェアアクターへ
• 暗号化せずにデータを盗むアクターが増加
• 初期アクセス獲得に脆弱性を悪用する事例が増加
• 公に報告された情報、および被害者による情報開示のタイムライン
• ランサムウェアのリークサイト – ダークウェブ上での犯行声明
• 被害者による情報開示で使われる表現
• ランサムウェアに対する法的措置が世界中で増加
• サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
• 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件（PIR）を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。

＜ガイドブックの主なトピック＞

本ガイドブックでは、優先的インテリジェンス要件（PIR）の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

• 脅威プロファイルの確立
• ステークホルダーの特定・分析
• ユースケースの確立
• 要件の定義と管理
• データの収集と処理
• 分析と生産
• 報告
• フィードバック
• 実効性の評価