2025Q3 国家が関係している攻撃等

2025Q3の国家が関係している攻撃等（北朝鮮やロシア、米国等）のトピックを載せています。いずれ纏めるためのネタ帳の役目でもあります。

2025Q2 国家が関係している攻撃等へのリンクはこちら

2025Q1 国家が関係している攻撃等へのリンクはこちら

2024Q4 国家が関係している攻撃等へのリンクはこちら

2024Q3 国家が関係している攻撃等へのリンクはこちら

2024Q2 国家が関係している攻撃等へのリンクはこちら

2024Q1 国家が関係している攻撃等へのリンクはこちら

脅威動向に関する情報はこちら（外部サイト）もご参照下さい

2025/09/02

AmazonがMicrosoft365を狙うAPT29を阻止

• bleepingcomputerより
• Amazonの脅威インテリジェンスチームが、Microsoft 365 のアカウントとデータへのアクセスを狙った、ロシア政府が支援する脅威グループ「Midnight Blizzard」によるとされる作戦を阻止したそうです。
• Amazon の脅威インテリジェンス チームは、APT29 のインフラストラクチャの分析を作成した後、水飲み場型攻撃キャンペーンで使用されたドメイン名を発見しました。
• 調査の結果、ハッカーらが複数の正規ウェブサイトに侵入し、base64エンコーディングを使用して悪意のあるコードを難読化していたことが明らかになったそうです。

2025/08/29

米財務省の外国資産管理局（OFAC）、北朝鮮の企業を制裁に

• 財務省のプレスリリースはこちら
• 米国財務省外国資産管理局 (OFAC) は、朝鮮民主主義人民共和国 (DPRK) 政府が画策した 情報技術 (IT) 労働者詐欺計画に関与したとして、ヴィタリー・セルゲイヴィッチ・アンドレーエ フ、 キム・ウン・スン 、 瀋陽金峰里ネットワークテクノロジー株式会社 、 および 韓国シンジン貿易株式会社 に制裁を科しました。

2025/08/28

SaltTyphoonに対してNSA/NCSCが共同勧告

• bleepingcomputerより
• 米国国家安全保障局（NSA）、英国国家サイバーセキュリティセンター（NCSC）、および12カ国以上のパートナーは、ソルトタイフーンによる世界的なハッキング活動が中国に拠点を置くテクノロジー企業3社と関連していると指摘しています。
• NSAはこちら
• NCSCはこちら

SilkTyphoonが外交官を標的に

• bleepingcomputerより
• GTIGの記事はこちら
• SilkTyphoon（中国が背後にいる脅威アクター）は、ウェブトラフィックを乗っ取って、マルウェアを配布するウェブサイトにリダイレクトすることで外交官を標的にしていた模様です。
• 攻撃は、Chrome ブラウザがキャプティブ ポータルの背後にあるかどうかを確認するときに開始されます。キャプティブ ポータルとは、ネットワークのユーザーがインターネットに接続する前に認証を行う Web ページです。
• 攻撃者は、Web トラフィックをハイジャックできる立場になり、ターゲットを Adob​​e プラグイン更新サイトを偽装したランディング ページにリダイレクトします。

2025/08/25

FSBが作成したAntiVirusを装ったAndroidマルウェア

• Dr.Webの記事より（記事元もロシア）
• Doctor Webは、ロシア企業の担当者を攻撃する、モバイルAndroidデバイス向けの多機能バックドア「Android.Backdoor.916.origin」の拡散を報告しています。このマルウェアは、攻撃者からの多数のコマンドを実行でき、監視とデータ窃取のための広範な機能を備えています。会話の盗聴、カメラからのブロードキャスト送信、インスタントメッセンジャーやブラウザからのコンテンツの窃取、パスワードを含む入力テキストの傍受のためのキーロガー機能など、様々な機能を備えています。

2025/08/23

パキスタンのAPT36がLinuxの.desktopファイルを悪用

• bleepingcomputerより
• パキスタンが背後にいるAPT36が、インドの政府機関および防衛機関に対する新たな攻撃で、Linuxの.desktopファイルを使用してマルウェアをロードしている模様です。

Murky Panda（Silk Typhoon, Hafnium）が、クラウド環境における信頼関係を悪用

• bleepingcomputerより
• Murky Panda (Silk Typhoon)が、クラウド環境における信頼関係を悪用して、下流の顧客のネットワークとデータへの初期アクセスを獲得しているそうです。
• CrowdStrikeのレポートが公開されています。

2025/08/22

ロシア政府職員4名を重要インフラを狙った2件の攻撃で起訴

• 米国司法省より
• 司法省はロシア政府に勤務していたロシア国籍の被告4名を、2012年から2018年に世界のエネルギー部門を標的としたコンピュータ侵入の試み/実行の罪で起訴しました。これらのハッキング活動は、約135カ国、数百の企業や組織の数千台のコンピュータを標的としていました。

2025/08/15

APT44(Sandworm)がノルウェーのダムを破壊

• bleepingcomputerより
• ノルウェー警察保安局（PST）は、親ロシア派ハッカーがダムの重要な運用システムを乗っ取り、流出バルブを開いたと発表しました。この攻撃は4月に発生し、ロシアが国内の重要インフラを遠隔ハッキングする能力を実証したものと考えられています。

2025/08/14

ペンシルベニア州司法長官の電子メールとサイトがサイバー攻撃でダウン

• bleepingcomputerより
• ペンシルベニア州司法長官事務所で、サイバー攻撃により固定電話やメールアカウントを含むシステムがダウンした模様です。事務所の職員は現在、影響を受けたサービスの復旧と事件の調査に取り組んでいるとのことです。

2025/08/13

ロシアが背後にいると思われるCurly COMrades

• BirDefenderより
• Bitdefender Labsによる2024年からの調査で、ロシアの利益を支援するために活動する新たな脅威アクターグループ「Curly COMrades」が明らかになっています。標的としてはジョージアなどの重要組織となっている模様です。

2025/08/12

北朝鮮が背後にいる脅威アクター「Kimsuky」がデータ漏洩被害に遭う

• bleepingcomputerより
• 北朝鮮が背後にいる脅威アクター「Kimsuky」が、Kimsukyの価値観に異を唱える「Saber」と「cyb0rg」と名乗る2人のハッカーにデータを盗まれてネット上に公開されるという、データ漏洩被害に遭ったそうです。
• https://ddosecrets.com/article/apt-down-the-north-korea-filesでデータが公開されています。

2025/07/31

ロシアの航空会社Aeroflot、サイバー攻撃を受けて数十便の運航停止

ウクライナとベラルーシのハクティビスト集団「Silent Crow」と「Cyberpartisans BY」が犯行声明を出した模様です。

bleepingcomputerより

ロシアの国営航空会社アエロフロートがサイバー攻撃を受け、60便以上の欠航と追加便の大幅な遅延が発生した模様です。

2025/07/24

ウクライナ、XSSロシアハッキングフォーラムの管理者(容疑者)を逮捕

• bleepingcomputerより
• ロシア語圏のハッキングフォーラムXSS.isの管理者とみられる人物が、パリ検察庁の要請によりウクライナ当局に逮捕された模様です。
• XSS.is は、2013 年から活動しているロシア語圏のサイバー犯罪フォーラムであり、 主要なサイバー犯罪オンライン ハブの 1 つとして広く認識されています。

2025/07/19

UKが、ロシア軍情報機関によるスパイ活動ツールの使用を非難

• NCSCのサイトより
• UKがAPT28が作戦の一環として「AUTHENTIC ANTICS」と呼ばれる高度なマルウェアを展開していたことを初めて明らかにしています。
• 「AUTHENTIC ANTICS」に関するPDFはこちらになります。

2025/07/18

Salt Typhoonが米国のNational Security Guardに侵入

• NBCニュースより
• 中国のSalt Typhoonが（どの州かは明示されていませんが）National Security Guardをハッキングしていた模様です。

2025/07/17

「Eastwoods」作戦：ユーロポールが、ウクライナ・EU加盟国を標的にDDoS攻撃を行っていたNoName057(16)を壊滅

• Europolの記事より
• ウクライナ・EU加盟国を標的にDDoS攻撃を行っていたNoName057(16)のメンバーを家宅捜索・逮捕しています。Eastwoods作戦（Operation）と呼ばれているようです。

2025/07/15

NCSCが脆弱性研究イニシアチブを通じて脆弱性研究コミュニティの参加を促す

• NCSCのサイトより
• NCSCが脆弱性研究イニシアチブ (VRI)を発表しています。

2025/07/08

“Batavia”というスパイウェアがロシア企業を標的に

• bleepingcomputerより
• 「Batavia」と呼ばれるスパイウェアが、契約関連のおとりを使ったフィッシングメールキャンペーンでロシアの大手産業企業をターゲットにしているそうです。
• Kasperskyが調査結果をブログにしています。

2025/07/02

CISA/FBI/DC3/NSAがイランによるサイバー攻撃に関して注意喚起

• CISA/FBI/DC3/NSAの共同発表より
• イランと米国の停戦合意が進んでいる状態ですが、イランが背後にいるAPTによる米国の重要インフラやその他の機関に対して標的型サイバー攻撃を行う可能性について、警戒を続けるようCISA/FBI/DC3/NSAが促しています。
• 特にOTに関しての警戒が必要になるとのことです。