MuddyWater APTグループ、Phoenixバックドアを用いて国際組織を攻撃

ウィークリー・サイバーラウンド・アップ

MuddyWater APTグループ、Phoenixバックドアを用いて国際組織を攻撃

Group-IB – October 22, 2025

イラン拠点の高度持続的脅威（APT）グループMuddyWaterが2025年8月以降、Phoenixバックドアのアップデートされた亜種を使用し、中東および北アフリカの国際組織を攻撃していることをGroup-IBの研究者が確認した。この攻撃ではすでに侵害されたメールボックスにNordVPN経由でアクセスし、マクロを仕込んだMicrosoft Word文書を含むフィッシングメールを配信している。標的がマクロを有効にしてコンテンツを表示すると、有害なVBAスクリプトが実行されてドロッパーとして機能し、FakeUpdateインジェクターをディスクに書き込む。FakeUpdateはAES（Advanced Encryption Standard、高度暗号化技術）を介してPhoenixバックドアを復号し、自身のプロセスに挿入。Phoenixバックドアは、感染したホストを攻撃者のC2インフラに登録してから継続的なビーコン送信とコマンドのポーリングを開始することで、リモート制御とエクスプロイト後のさらなる活動を可能にしている。このキャンペーンに関連付けられたインフラにより、カスタムツールのChromium Stealer、リモート監視・管理ツールのAction1とPDQ RMMが使われていることも明らかになった。

UNC5142とUNC5342、攻撃手法「EtherHiding」を使ってペイロードを配布

Google Cloud – October 17, 2025

ATOMICやVIDAR、LUMMAC、RADTHIEFなど情報窃取型マルウェアを配布する金銭目的の脅威アクターUNC5142について、GoogleとMandiantの研究者チームが詳述した。このグループは侵害されたWordPressサイトに加え、ブロックチェーンのスマートコントラクト内に有害コードを隠蔽する攻撃手法「EtherHiding」を利用している。UNC5142の活動は2023年末から追跡されており、戦術・技術・手順（TTP）を絶えず変更していることが観測されているものの、2025年7月下旬以降は活動が確認されていない。研究者チームはまた、北朝鮮系脅威アクターUNC5342もソーシャルエンジニアリングキャンペーン「Contagious Interview」の一環としてEtherHidingを利用していることが判明した。同グループはこのキャンペーンでJADESNOWマルウェアを使用し、INVISIBLEFERRETのJavaScriptの亜種を展開している。

Operation MotorBeacon、CAPIバックドアでロシアの自動車会社とEコマース事業を攻撃

Seqrite – October 17, 2025

2025年10月3日、Seqriteの研究者は「Operation MotorBeacon」と呼ばれるキャンペーンを発見した。このキャンペーンはロシアの自動車会社とEコマース事業を狙っており、スピアフィッシングメールに添付された税関係PDF文書をおとりに使い、有害なLNKファイルが入ったZIPファイルを介して未知の.NETマルウェアであるCAPIバックドアを配信していた。CAPIバックドアはLNKファイルによって.NET DLLインプラントの形式で実行され、管理者権限とアンチウイルスソフトウェアの有無を確認し、おとりのPDF文書を開き、攻撃者のC2サーバーと接続を行う。また、このバックドアはブラウザデータ窃取に関連した3つの機能を有するだけでなく、スケジュールされたタスクやインプラントそのものをユーザーのローミングアプリケーションデータフォルダにコピーすることで永続性を確立している。インプラントがコールバックを行い、窃取した情報を外部に持ち出すためのインフラは、P.a.k.t LLCという組織のASN 39087でホストされていた。

TransparentTribeがZIPアーカイブを使ってDeskRATを展開、インド軍事組織を標的に

Sekoia – October 23, 2025

Sekoiaの研究者は2025年8月から9月にかけて、TransparentTribeがGo言語ベースのリモートアクセス型トロイの木馬（RAT）DeskRATをインドの軍事組織に配信する際に使う感染チェーンを観測した。この感染チェーンは2025年7月に確認されたキャンペーンを引き継いでいると見られ、インド政府が使用するLinuxベースOSのBharat Operating System Solutionを狙っている。感染チェーン初期のフィッシングメールは入手できていないが、ステージングサーバー上でホストされたZIPアーカイブへリダイレクトするURLが含まれていると予想されている。このZIPアーカイブ内には.desktopファイルがあり、これに埋め込まれた悪意のあるコマンドがBashワンライナーを実行し、Base64エンコードされたバイナリペイロードを含むTXTファイルをダウンロードする。また、Bashワンライナーは最終的なDeskRATペイロードのデコードや書き込み、実行を行うだけでなく、おとりのPDFドキュメントを開く。DeskRATは実行後、WebSocket経由でC2通信を確立する。このRATの開発は大規模言語モデルによって支援されていたと推測され、Linux環境に適応した4種の異なる永続化技術も確認されている。

【開催決定！】日本最大級サイバー（脅威）インテリジェンスイベント

3大メガバンクスペシャル対談に加え、JC3、公安調査庁、楽天、リクルート、パナソニックなどからスペシャリストが登壇！海外からもアナリストや専門家が多数登壇予定！