Mysterious Elephant APT、各種ツールでアジア太平洋地域の政府機関を攻撃

ウィークリー・サイバーラウンド・アップ

Mysterious Elephant APT、各種ツールでアジア太平洋地域の政府機関を攻撃

SecureList – October 15, 2025

カスペルスキーの研究者は、高度持続的脅威（APT）グループ「Mysterious Elephant」の詳細をまとめた。このグループの戦術・技術・手順（TTP）は発見当初の2023年から変化し続けており、さまざまなツールや技術を駆使して主にパキスタン・アフガニスタン・バングラデシュの政府機関や外交部門への侵入を行い、特にWhatsAppを使って文書や画像、アーカイブファイルといった機微情報を窃取している。2025年初頭に始まった最新のキャンペーンでは、初期アクセスにエクスプロイトキット・フィッシングメール・有害文書を組み合わて利用。その後にBabShellやMemLoaderモジュールといったカスタムツールまたはオープンソースツールを使用し、侵害したシステムとの通信や情報収集などを行う。

有害npmパッケージを使ったフィッシングキャンペーンが世界中の企業・組織を標的に

Socket – October 9, 2025

175件の有害なnpmパッケージが合計2万6,000回ダウンロードされていることをSocketの研究者が明らかにした。これらのパッケージは、世界中の135社を超える事業法人・テクノロジー企業・エネルギー企業を標的とするフィッシングキャンペーン「Beamglea」のインフラとして利用されている。ランダムに選んだアルファベット6文字の名前が付けられたパッケージは、npmのパブリックレジストリや「unpkg[.]com」のコンテンツ配信ネットワーク（CDN）を使ってリダイレクトスクリプトをHTTPS経由でホストし、このスクリプトで被害者を認証情報収集ページに誘導。被害者が発注書やプロジェクト文書に偽装したHTMLファイルを開いた際にunpkg[.]comのCDNからJavaScriptを読み込み、認証情報フィッシングページにリダイレクトする。キャンペーンを自動化するPythonツールはJavaScriptのテンプレートファイル、被害者のメールアドレス、フィッシング用URLを読み込むことで機能し、続いてnpmへの認証、JavaScriptへのメールアドレスとURLの挿入、npmパッケージの作成と公開、HTMLルアーの生成を行う。パッケージ全体で630件以上のHTMLファイル、7件のフィッシングドメイン、9件のnpm開発者アカウントが特定されている。

Oracle E-Business Suiteのゼロデイ脆弱性、2025年7月には悪用が開始されていた可能性も（CVE-2025-61882）

Google Cloud – October 10, 2025

Oracle E-Business Suite（EBS）の脆弱性CVE-2025-61882を悪用した最近の事例について、GoogleとMandiantの研究者が詳述した。この攻撃の実行者は、CL0Pランサムウェアとの関連を主張する脅威アクターとされている。攻撃者がCVE-2025-61882を悪用したのは早くても2025年8月9日と考えられていたが、同年7月10日にはEBS環境を標的とした不審な活動があったことが確認された。複数の異なるエクスプロイトチェーンが観測されているものの、この脆弱性に関連する具体的な欠陥やエクスプロイトチェーンは現時点では不明である。 2025年7月の活動は「UiServlet」コンポーネントを標的としており、同年10月3日にSCATTERED LAPSUS$ HUNTERSのTelegramチャンネルでリークされたエクスプロイトと一部重複していたが、研究者らは観測された悪用活動とShiny Huntersを関連付けていない。また、2025年8月に観測された活動は「SyncServlet」コンポーネントを標的とし、XSLペイロードに埋め込まれた少なくとも2種類のJavaペイロードチェーン、特にGOLDVEINダウンローダーの亜種とSAGEGIFT・SAGELEAF・SAGEWAVEが利用されていた。

GhostBat RATが地域交通局になりすまし、インド人ユーザーの機微情報を窃取

Cyble – October 14, 2025

インド地域交通局（RTO）のアプリケーションを装い、リモートアクセス型トロイの木馬（RAT）のGhostBat RATでインド人ユーザーを狙ったAndroidマルウェアキャンペーンが増加していることをCybleの研究者が確認した。GhostBat RATは主にWhatsAppやSMSメッセージを介して配布され、RTOのアプリ「mParivahan」を装った短縮URLが含まれている。このURLをクリックすると、侵害されたWebサイトを経由してGitHubでホストされているAPKにリダイレクトする。インストールされたGhostBat RATはフィッシングページを利用して銀行の認証情報やUPI PIN（即時決済サービスのシークレットコード）を窃取し、銀行関連のキーワードを含むSMSメッセージを抽出してC2サーバーに送信する。GhostBat RATには多段階ドロッパー、ZIPヘッダー操作、高度な文字列難読化が実装され、アンチウイルスによる検出とリバースエンジニアリングを回避している。また、このキャンペーンではネイティブライブラリを使用してAPI呼び出しを動的に解決し、銀行認証情報の窃取を行うマルウェアやクリプトマイナーなどのペイロードを展開していることも確認されている。

【開催決定！】日本最大級サイバー（脅威）インテリジェンスイベント

サイバーインテリジェンスイベント「Cyber Intelligence Summit 2025」を11月に開催します！

サイバー脅威インテリジェンスとセキュリティ戦略についての国際セキュリティカンファレンス「Cyber Intelligence Summit 2025」を2025年11月5日〜7日、ベルサール虎ノ門にて開催します。

3大メガバンクスペシャル対談に加え、JC3、公安調査庁、楽天、リクルート、パナソニックなどからスペシャリストが登壇！海外からもアナリストや専門家が多数登壇予定です！