UTA0388によるスピアフィッシング、GOVERSHELLを配信 | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > ウィークリーサイバーダイジェスト > UTA0388によるスピアフィッシング、GOVERSHELLを配信

ウィークリーサイバーダイジェスト

AI

Silobreaker-WeeklyCyberDigest

フィッシング

UTA0388によるスピアフィッシング、GOVERSHELLを配信

nosa

nosa

2025.10.10

ウィークリー・サイバーラウンド・アップ

UTA0388によるスピアフィッシング、GOVERSHELLを配信

Volexity – October 8, 2025

Volexityの研究者は2025年6月から8月にかけて、北米やアジア、ヨーロッパの企業とその顧客を狙い、GOVERSHELLバックドアを配信する一連のスピアフィッシングキャンペーンを観測した。当初、このキャンペーンは標的ごとに最適化した文面を使うことによって、正当な企業・組織の上級研究員やアナリストから送られたメッセージであるかのように見せかけていた。キャンペーンが進行するにつれ、Eメールはさまざまな言語で書かれるようになり、2025年8月にはVolexityが「信頼関係構築型フィッシング(rapport-building phishing)」と呼ぶ攻撃方法を活用している。これは標的人物と無害なコミュニケーションを取り、信頼を得てからフィッシングリンクを送る攻撃方法を指す。すべての事例において、ZIP/RARアーカイブへのリンクがEメールに含まれていた。アーカイブ内の正規の実行ファイルを実行すると、サーチオーダーハイジャッキングによって有害なDLLが読み込まれる。この実行ファイルがGOVERSHELLを展開することで、攻撃者は感染デバイス上でのリモートコマンド実行が可能になった。攻撃者が使用するZIP/RARアーカイブには奇妙な隠しファイルが存在する。また、フィッシングメールの文章には一貫性がないため、大規模言語モデル(LLM)を活用していると推測される。このキャンペーンの実行者は「UTA0388」として追跡されており、中国関連の脅威アクターであると思われる。GOVERSHELLはUTA3088が独占的に使用していると見られ、現時点では5つの異なる亜種が開発されていることが明らかになっている。

Water SaciがブラジルのWindowsユーザーを狙い、WhatsAppを悪用してSORVEPOTELマルウェアを拡散

Trend Micro – October 3, 2025

トレンドマイクロの研究者チームは、脅威アクターWater SaciがブラジルのWindowsシステムを狙い、WhatsAppを悪用してSORVEPOTELマルウェアを拡散していることを確認した。WhatsAppのメッセージは受信者にデスクトップでメッセージを開くよう促しているため、顧客ではなく企業を標的としていることが示唆される。ZIPファイルを解凍するとLNKファイルが現れ、これを実行するとコマンドラインまたはPowerShellスクリプトが立ち上がる。続いて攻撃者の管理するドメインから最初のペイロードがダウンロードされた後、メモリ内で実行される。感染チェーンはこのペイロードから始まり、Maverick.StageTwoスパイウェアとダウンローダーDLLを配布。Maverick.StageTwoはブラジルの銀行顧客を標的としており、特定のWebサイトへアクセスした際に有害なペイロードを実行し、情報または認証情報の窃取機能を備えたMaverick.Agentを展開する。WhatsAppを乗っ取るSORVEPOTELは、ブラウザを制御するSeleniumと、WhatsApp経由でメッセージやZIPファイルを送信するJavaScriptをドロップし、感染後に自己増殖型マルウェアとして動作を続ける。

SideWinder APTが無料ホスティングサービスを悪用、Operation SouthNetで認証情報を窃取

Hunt.io – October 1, 2025

Hunt[.]ioの研究者により、「Operation SouthNet」と名付けられたSideWinder APTのキャンペーンが観測された。同キャンペーンでは無料ホスティングサービスを悪用し、認証情報収集ポータルと武器化されたルアー文書を展開。マルウェアをオープンディレクトリに置き、後で取得できるようにした。Netlifyやpages[.]devなどのプラットフォームには、OutlookまたはZimbraの偽ポータルや認証情報収集ページをホストする有害なドメインが50件以上確認されている。このキャンペーンではパキスタンやスリランカの政府機関・軍事機関に海事または港湾をテーマにしたルアー文書が配布され、ネパール・バングラデシュ・ミャンマーも副次的に狙われた。武器化された文書は2025年8月から9月にかけて少なくとも12件確認され、パキスタンの海洋部門に関連するオープンディレクトリ内で8件のマルウェアサンプルが見つかっている。新しいフィッシングドメインは平均3~5日ごとに出現し、確認されたフィッシングページのうち少なくとも1件は2025年9月30日時点でアクティブなままだった。インフラはSideWinderが過去に使用したC2アセットと重複しており、複数年にわたって再利用されていることが確認された。

【開催決定!】日本最大級サイバー(脅威)インテリジェンスイベント

サイバーインテリジェンスイベント「Cyber Intelligence Summit 2025」を11月に開催します!

サイバー脅威インテリジェンスとセキュリティ戦略についての国際セキュリティカンファレンス「Cyber Intelligence Summit 2025」を2025年11月5日〜7日、ベルサール虎ノ門にて開催します。

3大メガバンクスペシャル対談に加え、JC3、公安調査庁、楽天、リクルート、パナソニックなどからスペシャリストが登壇!海外からもアナリストや専門家が多数登壇予定です!

kv_cis2025

開催概要

名 称:Cyber Intelligence Summit 2025

日 程:2025年11月5日(水)、6日(木)、7日(金)

会 場:ベルサール虎ノ門(オンライン配信無し)

主 催:株式会社マキナレコード

料 金:フルパス ¥10,000|展示パス 無料

翻 訳:英日同時通訳付き

登 録:特設サイトより事前登録

Day,01&02 一般企業中心(官公庁の方も歓迎)

民間企業においてサイバー脅威インテリジェンスに携わる部門のご担当者(情報セキュリティ部門、リスク管理、経営企画、IT・CISO室など)、またはその関連分野に関心をお持ちの方。官公庁・自治体のサイバー対策・情報分析部門にご所属の方もご参加いただけます。

Day,03 官公庁限定(主に法執行機関)

国内の官公庁、自治体、法執行機関(警察庁・都道府県警察、防衛省関連機関等)において、サイバー対策、情報保全、脅威インテリジェンス業務に携わる職員の方。

※Day3は官公庁、自治体、法執行機関所属の方に限りご参加いただけます。

※個人名義や企業所属でのご登録はできません。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界

【無料配布中!】地政学情勢×サイバー動向の解説レポート

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。

<レポートの主なトピック>

本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。

目次
  • 序論
  • ハクティビズム
    • ハクティビズムの変遷
    • 戦争におけるハクティビズム
    • 「選挙イヤー」におけるハクティビズム
    • 絡み合う動機
    • 国家の支援を受けたハッカー集団
  • 偽情報
    • 国家間対立
    • 偽情報とロシア・ウクライナ戦争
    • 偽情報とイスラエル・ハマス戦争
    • 偽情報と選挙が世界にあふれた2024年
  • 国家型APTの活動
    • 中国
    • ロシア
    • 北朝鮮
    • イラン
  • マルチチャネルインテリジェンスの運用化における課題と関連リスク

【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド

ランサムウェアレポート:『2024 Ransomware? What Ransomware?』

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート2024 Ransomware? What Ransomware?の日本語訳バージョンを無料でダウンロードいただけます。

<レポートの主なトピック>

  • 主なプレーヤーと被害組織
  • データリークと被害者による身代金支払い
  • ハクティビストからランサムウェアアクターへ
  • 暗号化せずにデータを盗むアクターが増加
  • 初期アクセス獲得に脆弱性を悪用する事例が増加
  • 公に報告された情報、および被害者による情報開示のタイムライン
  • ランサムウェアのリークサイト – ダークウェブ上での犯行声明
  • 被害者による情報開示で使われる表現
  • ランサムウェアに対する法的措置が世界中で増加
  • サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
  • 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック要件主導型インテリジェンスプログラムの構築方法の日本語訳バージョンを無料でダウンロードいただけます。

<ガイドブックの主なトピック>

本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

  • 脅威プロファイルの確立
  • ステークホルダーの特定・分析
  • ユースケースの確立
  • 要件の定義と管理
  • データの収集と処理
  • 分析と生産
  • 報告
  • フィードバック
  • 実効性の評価

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ