北朝鮮グループBlueNoroffのキャンペーンで多様なマルウェアが拡散される

yab

2025.10.31

ウィークリー・サイバーラウンド・アップ

BlueNoroffのキャンペーン「GhostCall」と「GhostHire」で多様なバックドアやスティーラーが拡散される

Secure List – October 28, 2025

カスペルスキーの研究者により、北朝鮮系脅威グループBlueNoroffのキャンペーンが2件観測された。それぞれ「GhostCall」「GhostHire」と名付けられた両キャンペーンは「SnatchCrypto Operation」の一環として共同実行されており、遅くとも2023年半ばには活動が始まっている。この2つのキャンペーンは攻撃チェーンにおいて構造的な類似点があり、どちらにも同じマルウェアが展開されている。また、BlueNoroffは攻撃のさまざまな側面で人工知能（AI）を活用していることが確認された。GhostCallはテクノロジー企業やベンチャーキャピタリストの経営幹部のmacOSデバイスを標的とし、ZoomまたはMicrosoft Teamsを模倣したUIを通じて起業家・投資家との偽会議を開催。偽会議サイトでは参加者にカメラを有効にするよう求め、JavaScriptを使ったロジックで毎秒録画されたビデオチャンクをBlueNoroffに送る。その後にシステムが正常に機能していないことを示すエラーメッセージを表示した上で、参加者に有害なSDKアップデートファイルをダウンロードするよう促す。一方、 GhostHireはWeb3開発者やエンジニアを標的とし、求人応募のためのスキル評価を装い、GitHubやTelegramのボットを介して有害なプロジェクトを配信する。少なくとも7つの多段階実行チェーンが確認されており、これらのチェーンが多様なバックドアやキーロガー、スティーラーを拡散している。確認されたマルウェアにはCosmicDoor、RooTroy、DownTroy、RealTimeTroy、ZoomClutch、TeamsClutch、SilentSiphon、SneakMain、RustBucketの軽量版であるSysPhon、SugarLoader、Bof Loaderなどがあり、CosmicDoor、RooTroy、RealTimeTroyの感染チェーンではGillyInjectorも利用されている。

SideWinderがClickOnce攻撃チェーンを使い、アジア諸国にModuleInstallerとStealerBotを配信（CVE-2017-0199）

Trellix – October 22, 2025

Trellixの研究者は2025年9月、インド・スリランカ・パキスタン・バングラデシュの複数機関に対してClickOnce感染チェーンを使用し、ModuleInstallerとStealerBotを配信するフィッシングキャンペーンを観測した。インドの脅威アクターSideWinderの関与が疑われるこのキャンペーンは、2025年を通じて複数回にわたって発生しており、各回に設定されたテーマに沿って外交機関が攻撃されている。同年3月〜4月に行われた1回目の攻撃では、Eメールに添付されたPDF文書を使い、最新版のAdobe Readerを添付リンクからダウンロードするよう要求。2回目以降の攻撃は、それぞれ同年4月〜5月、6月〜9月、そして9月に発生した。5月と9月の攻撃では、マルウェアを配信するために脆弱性（CVE-2017-0199）を悪用したWord文書が使用されていた。いずれの攻撃も正規のJSON設定ファイルを有害なDLLに置き換え、サイドローディングベクターとして利用している。実行されたDLLは、ClickOnceインストーラーと共にドロップされたModuleInstallerの暗号化済みファイルを探し出し、最終的にはStealerBotをロードするために必要な実行ファイル「TapiUnattend」をダウンロードする。

Lampion Stealer配信キャンペーン、新たな感染チェーンでポルトガルの銀行を攻撃

Bitsight – October 28, 2025

Bitsightの研究者は、遅くとも2024年6月から実行されているスパムキャンペーンを詳述した。ブラジルのハッカー集団の関与が疑われるこの活動は、ポルトガルの銀行に対してLampion Stealerを配信している。同キャンペーンの感染チェーンはフィッシングメールから始まった後、難読化されたVBSスクリプトを使った多段階チェーンを通じてDLLが投下される。感染チェーンにはたびたび変化が加えられており、最初の変化は2024年9月に確認された。当初はフィッシングメールにZIPファイルへのリンクを記していたものの、このZIPファイルを添付する形を経て、同年12月にはClickFixルアーが採用された。直近では2025年6月に変更があり、永続性を確立するために感染チェーンの第1段階で使われるVBSスクリプトがWindowsスタートアップフォルダへ追加された。現在、Lampion Stealerの主要コンポーネントは1つのDLLにまとめられており、文書化されていない特徴がいくつか備わっている。このDLLはEmbarcadero Delphi Professionalによってコンパイルされ、13個のセクションに分割されているほか、リソースセクションには容量の大部分を占める暗号化されたZIPファイルが2つ含まれている。

Smishing Triadの新たなフィッシング攻撃キャンペーン、偽の通行料金違反と荷物誤配達通知を悪用

Unit 42 – October 23, 2025

パロアルトネットワークスUnit 42の研究者により、脅威アクターSmishing Triadの新たな攻撃キャンペーンが特定された。偽の通行料金違反や荷物誤配達通知を悪用するこのキャンペーンは、当初の想定より大規模かつ複雑なものと考えられており、使用されているインフラから判断すると十分なリソースを備えたフィッシング・アズ・ア・サービス（PhaaS）オペレーションによって実行されていることが示唆される。Smishing Triadは2024年4月以降、米国居住者を標的としてきたが、さらに活動範囲を拡大し、銀行、暗号資産プラットフォーム、Eコマースプラットフォームなど重要な業界を含むグローバルなサービスになりすますようになった。 2025年5月以降、Smishing TriadのTelegramチャンネルはフィッシングキット専用のマーケットプレイスから多様な脅威アクターが集まる活発なコミュニティに進化し、PhaaSエコシステム内で上流・中流・下流・サポートの各段階に特化した活動を展開。攻撃ドメインはさまざまな国の地理的位置を示す複数のIPアドレスでホストされ、その多くがログインおよび本人確認ポータル、通行料支払いページ、その他のサービス料金支払いページを模倣したインフラをホストしている。2024年1月1日以降に登録された13万6,933件のルートドメインから、この攻撃に関連しているドメインが19万4,345件見つかっている。

攻撃キャンペーン「Water Saci」、新たなスクリプトベースの攻撃チェーンでSORVEPOTELを展開

Trend Micro – October 27, 2025

トレンドマイクロの研究者は2025年10月8日、進行中のキャンペーン「Water Saci」においてSORVEPOTELを展開する新たな攻撃チェーンを確認した。この攻撃チェーンではメールベースのC2インフラを活用し、マルチベクトル型持続的攻撃を仕掛け、高度なチェック機能によって分析を回避すると同時に、攻撃活動を特定の標的に制限している。さらに、この新たな攻撃チェーンは高度なリモートC2システムを備えているため、脅威アクターはマルウェアの拡散をリアルタイムで制御できるだけでなく、感染したマシンをボットネットツールに変換し、複数のエンドポイントを協調的に操作できるようになっている。感染チェーンはWhatsApp Web経由でZIPアーカイブファイルをダウンロードすることから始まり、このアーカイブに難読化されたVBSダウンローダーが格納されている。VBSダウンローダーはファイルレス実行を行うPowerShellコマンドを発行し、PowerShellスクリプトをメモリ内にダウンロードして実行。このPowerShellスクリプトを使ってWhatsApp Webのセッションを乗っ取り、被害者のアカウントからすべての連絡先情報を収集し、その連絡先へZIPファイルを自動的に配布する一方で、大規模なソーシャルエンジニアリングキャンペーンのために永続的なC2通信を維持する。PowerShellスクリプトには一貫してポルトガル語が使われていることから、ブラジルが標的にされているものと思われる。また感染チェーンの重複と展開は、過去のバンキング型トロイの木馬キャンペーン「Coyote」との関連性を示唆している。