-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ウィークリー・サイバーラウンド・アップ
UTA0388によるスピアフィッシング、GOVERSHELLを配信
Volexityの研究者は2025年6月から8月にかけて、北米やアジア、ヨーロッパの企業とその顧客を狙い、GOVERSHELLバックドアを配信する一連のスピアフィッシングキャンペーンを観測した。当初、このキャンペーンは標的ごとに最適化した文面を使うことによって、正当な企業・組織の上級研究員やアナリストから送られたメッセージであるかのように見せかけていた。キャンペーンが進行するにつれ、Eメールはさまざまな言語で書かれるようになり、2025年8月にはVolexityが「信頼関係構築型フィッシング(rapport-building phishing)」と呼ぶ攻撃方法を活用している。これは標的人物と無害なコミュニケーションを取り、信頼を得てからフィッシングリンクを送る攻撃方法を指す。すべての事例において、ZIP/RARアーカイブへのリンクがEメールに含まれていた。アーカイブ内の正規の実行ファイルを実行すると、サーチオーダーハイジャッキングによって有害なDLLが読み込まれる。この実行ファイルがGOVERSHELLを展開することで、攻撃者は感染デバイス上でのリモートコマンド実行が可能になった。攻撃者が使用するZIP/RARアーカイブには奇妙な隠しファイルが存在する。また、フィッシングメールの文章には一貫性がないため、大規模言語モデル(LLM)を活用していると推測される。このキャンペーンの実行者は「UTA0388」として追跡されており、中国関連の脅威アクターであると思われる。GOVERSHELLはUTA3088が独占的に使用していると見られ、現時点では5つの異なる亜種が開発されていることが明らかになっている。
Water SaciがブラジルのWindowsユーザーを狙い、WhatsAppを悪用してSORVEPOTELマルウェアを拡散
トレンドマイクロの研究者チームは、脅威アクターWater SaciがブラジルのWindowsシステムを狙い、WhatsAppを悪用してSORVEPOTELマルウェアを拡散していることを確認した。WhatsAppのメッセージは受信者にデスクトップでメッセージを開くよう促しているため、顧客ではなく企業を標的としていることが示唆される。ZIPファイルを解凍するとLNKファイルが現れ、これを実行するとコマンドラインまたはPowerShellスクリプトが立ち上がる。続いて攻撃者の管理するドメインから最初のペイロードがダウンロードされた後、メモリ内で実行される。感染チェーンはこのペイロードから始まり、Maverick.StageTwoスパイウェアとダウンローダーDLLを配布。Maverick.StageTwoはブラジルの銀行顧客を標的としており、特定のWebサイトへアクセスした際に有害なペイロードを実行し、情報または認証情報の窃取機能を備えたMaverick.Agentを展開する。WhatsAppを乗っ取るSORVEPOTELは、ブラウザを制御するSeleniumと、WhatsApp経由でメッセージやZIPファイルを送信するJavaScriptをドロップし、感染後に自己増殖型マルウェアとして動作を続ける。
SideWinder APTが無料ホスティングサービスを悪用、Operation SouthNetで認証情報を窃取
Hunt[.]ioの研究者により、「Operation SouthNet」と名付けられたSideWinder APTのキャンペーンが観測された。同キャンペーンでは無料ホスティングサービスを悪用し、認証情報収集ポータルと武器化されたルアー文書を展開。マルウェアをオープンディレクトリに置き、後で取得できるようにした。Netlifyやpages[.]devなどのプラットフォームには、OutlookまたはZimbraの偽ポータルや認証情報収集ページをホストする有害なドメインが50件以上確認されている。このキャンペーンではパキスタンやスリランカの政府機関・軍事機関に海事または港湾をテーマにしたルアー文書が配布され、ネパール・バングラデシュ・ミャンマーも副次的に狙われた。武器化された文書は2025年8月から9月にかけて少なくとも12件確認され、パキスタンの海洋部門に関連するオープンディレクトリ内で8件のマルウェアサンプルが見つかっている。新しいフィッシングドメインは平均3~5日ごとに出現し、確認されたフィッシングページのうち少なくとも1件は2025年9月30日時点でアクティブなままだった。インフラはSideWinderが過去に使用したC2アセットと重複しており、複数年にわたって再利用されていることが確認された。
【開催決定!】日本最大級サイバー(脅威)インテリジェンスイベント
サイバーインテリジェンスイベント「Cyber Intelligence Summit 2025」を11月に開催します!
サイバー脅威インテリジェンスとセキュリティ戦略についての国際セキュリティカンファレンス「Cyber Intelligence Summit 2025」を2025年11月5日〜7日、ベルサール虎ノ門にて開催します。
3大メガバンクスペシャル対談に加え、JC3、公安調査庁、楽天、リクルート、パナソニックなどからスペシャリストが登壇!海外からもアナリストや専門家が多数登壇予定です!
開催概要
名 称:Cyber Intelligence Summit 2025
日 程:2025年11月5日(水)、6日(木)、7日(金)
会 場:ベルサール虎ノ門(オンライン配信無し)
料 金:フルパス ¥10,000|展示パス 無料
翻 訳:英日同時通訳付き
登 録:特設サイトより事前登録
ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。
翻訳元サイトについて
本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。
翻訳元 : Weekly Cyber Round-up
とは?.jpg)
