2025Q2 サイバー攻撃関連

2025.04.03

ここでは実際に2025Q2に起こったサイバー攻撃、インシデント、また攻撃検知等の情報をトピックとして載せていきます。逐次追記していきます。

マルウェア・ランサムウェアに関する記事もこちらに統合しました(ランサムウェア攻撃という様に、最近では不可分になってきたため)

2025Q1 サイバー攻撃関連はこちら

2024Q4 サイバー攻撃関連はこちら
2024Q3 サイバー攻撃関連はこちら

2024Q2 サイバー攻撃関連2024Q2はこちら

2024Q1サイバー攻撃関連トピックはこちら

2023Q4サイバー攻撃関連トピックはこちら

2024Q2 マルウェア・ランサムウェア(Malware/Ransomware) 情報

2024Q1 マルウェア・ランサムウェア(Malware/Ransomware) 情報はこちら

2025/04/25

Lazarusグループの「Operation SyncHole」。六社に侵入

  • Kasperskyブログより
  • Kasperskyの調査によると、Lazarusグループによる最新の攻撃キャンペーン「Operation Synchole」が、水飲み場型攻撃 と韓国製ソフトウェアの脆弱性を巧妙に組み合わせ、韓国の組織を標的としていました。結果として6つの組織に侵入した模様です。

InterlockランサムウェアグループがDaVitaへの攻撃を主張

  • bleepingcomputerより
  • Interlockランサムウェアグループが、腎臓透析会社DaVitaへのサイバー攻撃と、同組織から盗まれたとされるデータの漏洩を行ったと主張した模様です。

io_uringを利用したLinux上のマルウェア

  • ARMOのブログより
  • Linux上のマルウェアio_uringを使用したrootkitが検出を逃れているという調査結果が出ているようです。
  • 後で詳しく見て見る予定です。

2025/04/24

ATT&CK v17リリース

  • MITRE ATT&CKのサイトより
  • ATT&CK v17がリリースされています。仮想化インフラへの攻撃の増加を反映し、エンタープライズに ESXiプラットフォーム が含まれるようになっています。

ロシアの新たなAndroidマルウェアがAlpine Quest内に見つかる

  • bleepingcomputerより
  • ロシアによるものと思われるトロイの木馬化されたバージョンの Alpine Quest マッピング アプリ内に隠された新たな Android マルウェアが発見されました。
  • 攻撃者は、Telegram チャンネルとロシアのアプリ カタログを使用して、トロイの木馬化されたアプリをAlpine Quest Pro の無料クラック版として宣伝し、配布しているそうです。

マークス・アンド・スペンサーがサイバー攻撃を受ける

  • bleepingcomputerより
  • マークス・アンド・スペンサー(イギリスの老舗デパート、私でも知ってるくらい有名)がサイバー攻撃に遭っていた模様です。
  • インシデントの調査と対応を支援するため、外部のサイバーセキュリティ専門家を雇用したそうです。 また、データ保護監督当局および国家サイバーセキュリティセンターにこの事件を報告したとの事です。

2025/04/23

韓国最大の携帯電話事業者SKテレコムが顧客のUSIM関連の機密情報にアクセスされたと警告

  • bleepingcomputerより
  • 韓国最大の携帯電話事業者SKテレコムは、マルウェア感染により脅威の攻撃者が顧客のUSIM関連の機密情報にアクセス可能になったと警告している。
  • 同社によると、週末のサイバー攻撃で、2025年4月19日土曜日の午後11時(現地時間)に自社のシステムでマルウェアが検出されたという。

Ripple推奨のXRPライブラリがハイジャックされウォレットが盗まれる

  • bleepingcomptuerより
  • xrpl NPMパッケージのバージョン2.14.2、4.2.1、4.2.2、4.2.3、4.2.4に悪意のあるコードが追加され、昨日午後4時46分から午後5時49分(東部標準時)の間にNPMレジストリに公開されました。これらの脆弱性のあるバージョンはその後削除され、クリーンな4.2.5リリースが利用可能になりました。
  • 侵害されたライブラリでは、攻撃者が管理するサーバーに転送され、脅威アクターがウォレットに保管されているすべての資金を盗むことが可能になっています。

“Cookie-byte”攻撃のPoC

  • varonisのブログより
  • Varonis Threat Labsの 研究者は、攻撃者が窃取したブラウザCookieを用いてMFAを回避するために用いる手法を発見しました。攻撃者は、カスタムメイドの悪意あるブラウザ拡張機能や自動化スクリプトを活用することで、認証Cookieを抽出できます。
  • こちら、面白いので別ブログでまとめるかもしれません。

ユーザートークンのログ記録ミスによりMicrosoft Entraアカウントがロックアウトされる

  • bleepingcomputerより
  • 土曜日の朝、多数の組織が、 アカウントの資格情報が漏洩し 、アカウントが自動的にロックアウトされたという Microsoft Entra アラートを受信し始めたと報告しました。
  • マイクロソフトは、週末の Entra アカウントのロックアウトは、内部システムでの誤ったユーザーリフレッシュトークン無効化によって発生したことを確認しました。

2025/04/19

InterlockランサムウェアグループがClickFix攻撃を使用して侵入

  • bleepingcomputerより
  • Interlock ランサムウェア ギャングは現在、IT ツールを偽装する ClickFix 攻撃を使用して企業ネットワークに侵入し、デバイスにファイル暗号化マルウェアを展開しています。
  • ClickFix はソーシャル エンジニアリングの手法であり、被害者を騙してシステム上で危険な PowerShell コマンドを実行させ、エラーを修正したり自分自身を検証したりすることで、マルウェアをインストールさせます。

Windows NTLMハッシュ漏洩(CVE-2025-24054)の脆弱性が政府機関へのフィッシング攻撃に悪用される。APT28が関与の可能性あり

  • CheckPoint Researchより
  • 2025年3月11日 にPatch Tuesdayで修正されたWindows NTLMの脆弱性(CVE-2025-24054)では、攻撃者によるNTLMハッシュやユーザーパスワードの漏洩、システムへの侵入が可能となる可能性があります
  • 2025年3月20日〜3月21日頃、ポーランド と ルーマニア を含む政府機関および 民間機関を標的とした、この脆弱性を悪用する複数の攻撃キャンペーンが発生した模様です。攻撃者のIPの一つはAPT28に結び付けられています。

CISAがOracle Cloud からのデータ漏洩に関して警告

2025/04/16

4chanが攻撃されて落ちたらしい。古いPHPが問題か

  • 4chanが攻撃を受けて落ちている模様です。
  • 古いPHP(2016年にEOL)が攻撃の起因になったのでは、という予想もされています

2025/04/15

HertzがCleoのゼロデイ脆弱性攻撃で被害を受けていた模様

  • HertzのPDFはこちら
  • HertzのベンダーであるCleo Communications US, LLC(以下「Cleo」)が関与した事象により、特定の個人の個人情報が影響を受けた可能性があります。
  • 2025年2月10日、Hertzのデータが不正な第三者によって取得されたことを確認しました。この第三者は、2024年10月と12月にCleoのプラットフォームに存在するゼロデイ脆弱性を悪用したと推定されます。Hertzは直ちにデータの分析を開始し、事象の範囲を特定し、個人情報が影響を受けた可能性のある個人を特定しました。
  • このデータ分析は2025年4月2日に完了し、この事象に関連する個人情報には、氏名、連絡先、生年月日、クレジットカード情報、運転免許証情報、労災補償請求に関する情報が含まれる可能性があると結論付けました。ごく少数の個人については、社会保障番号やその他の政府発行の身分証明書番号、パスポート情報、メディケアまたはメディケイドID(労災補償請求に関連)、または自動車事故の請求に関連する傷害関連情報が、この事象の影響を受けた可能性があります。

アメリカの政府請負業者「CONDUENT」が1月に顧客データを盗まれていたことを報告

  • bleepingcomputerより
  • Conduent は、運輸、医療、顧客体験、人事などの分野の政府機関および商業顧客にデジタル プラットフォームとソリューションを提供するビジネス サービス企業です。
  • 同社は33,000人以上の従業員を擁し、フォーチュン100社の半数と600以上の政府機関および運輸機関にサービスを提供しています。
  • 同社は1月に サイバー攻撃を受け 、地方政府機関を含む全米の顧客の業務に影響を及ぼしました。
  • Conduent 社はFORM-8K 書類の中で「当社は継続中の調査の一環として、脅威の攻撃者が当社の限られた数の顧客に関連する一連のファイルを盗み出したと判断しました」と報告しました。

サイバーセキュリティ企業が観測のためにハッカーのフォーラムアカウントを購入

  • Prodaftより。以下はサイトの文言です。
  • 脅威インテリジェンス企業として、私たちはサイバー犯罪者のインフラを可視化し、パターン、戦術、手法、手順を探求することに特化しています。これらの手法は、敵対ネットワークの理解と潜在的なサイバー攻撃の検知・軽減に役立ちます。これらの活動は、ディープウェブやダークウェブ、アンダーグラウンドフォーラム、違法マーケットプレイスといった場所と密接に関連しているため、私たちは網羅的な情報網の構築に限界がないように努めています。 そのため、私たちは特定のフォーラムアカウントを購入し、これらのネットワークにアクセスして敵対的な海域で何が起こっているかを把握することに決めました。言い換えれば、これらのアカウントをヒューマンインテリジェンス(HUMINT)の目的に活用し、ダークウェブへの可視性を最大限に高めたいと考えています。

TLS証明書の有効期限が47日間に

  • securityonlineより
  • TLS証明書の有効期間を最大47日に短縮するApple社提案SC0-081v3がCA/Browser Forumで可決されたとの事です。
    • 2026/3/14までは最大有効期間は398日。
    • 2027/3/14までは200日。
    • 2028/3/14までは100日。
    • 2028/3/15以降は47日。

新たなResolverRATマルウェアが世界の製薬会社や医療機関を標的に

  • Morphisecのブログより
  • 「ResolverRAT」と呼ばれる新しいリモート アクセス トロイの木馬 (RAT) が世界中の組織に対して使用されており、最近の攻撃では医療および製薬業界を標的としたマルウェアが使用されています。
  • ResolverRAT は、ターゲットの国に一致する言語に合わせて、法律違反または著作権侵害を主張するフィッシング メールを通じて配布されます。
  • Morphisec は、イタリア語、チェコ語、ヒンディー語、トルコ語、ポルトガル語、インドネシア語でのフィッシング攻撃を観察しているため、このマルウェアは世界規模で活動しており、さらに多くの国に拡大される可能性があります。

2025/04/13

IKEAがランサムウェアにより2300万ドルの損害

  • bleepingcomputerより
  • IKEA店舗を運営するFourlis Groupは、2024年11月27日のブラックフライデーの直前にランサムウェア攻撃を受け、推定2,000万ユーロ(2,280万ドル)の損失が発生したと発表しました。
  • 同グループはランサムウェアの犯人に金銭を支払わず、外部のサイバーセキュリティ専門家の助けを借りて被害を受けたシステムを復旧したとの事です。

脅威アクターが既知の脆弱性を悪用しようとFortinetデバイスにアクセス

  • Fortinetのブログより
  • 脅威アクターが既知の脆弱性( FG-IR-22-398FG-IR-23-097FG-IR-24-015 など)を悪用してフォーティネットデバイスにアクセスしようとしていることが確認されている模様です。
  • デバイスのバージョンはきちんとアップデートしましょう。

米国の検査機関に攻撃。160万人の健康データが侵害される

  • bleepingcomputerより
  • ラボラトリー・サービス・コーポラティブ(LSC)は、ハッカーがシステムから約160万人分の機密情報を盗んだデータ侵害があったことを知らせる声明を発表しました。

2025/04/10

認証情報を盗む前に被害者を審査するフィッシングキット

  • bleepingcomputerより
  • フィッシング攻撃者は、「Precision-Validated Phishing」と呼ばれる新しい回避戦術を採用しています。これは、脅威攻撃者が特に狙った電子メール アドレスをユーザーが入力した場合にのみ、偽のログイン フォームを表示するというものです。
  • この新しい戦術は、極端に高度であったり、特に洗練されているわけではありませんが、すべての無効なターゲットをフィッシング プロセスから除外します。
  • こちらも後でまとめる予定です。

Europolによる昨年の「Operation Endgame」の続きで、5名が逮捕

  • Europolのニュースより
  • 2024年5月に「Operation Endgame」 が行われ、IcedID・SystemBC・Pikabot・Smokeloader・Bumblebeeなどのマルウェアドロッパーがシャットダウンされました。
  • 更に北米とヨーロッパの法執行機関は、「Operation Endgame」で明らかになった手がかりを綿密に追跡し、オンライン上の人物名とそのユーザー名を実在の人物と結びつけ、5名を逮捕しています。

2025/04/09

MiraiボットネットによりTVT DVRが攻撃

  • bleepingcomputerより
  • TVT NVMS9000 DVR を標的としたエクスプロイトが急増していることが検出されました。2025 年 4 月 3 日にピークに達し、2,500 を超える固有 IP が脆弱なデバイスをスキャンしました。
  • Miraiボットネットがこの脆弱性を悪用した攻撃を行っている模様です。

2025/04/06

Oracle社がOCIでの漏洩を(Privateで)認めた模様

  • bleepingcomputerより
  • 3月末から業界で話題になっているOracleのOCIでの漏洩ですが、Oracle社がFBIと調査をしている模様です。攻撃者はユーザーの電子メール、ハッシュ化されたパスワード、ユーザー名などのデータをOracle Identity Manager(IDM)データベースから盗み出したとされています。
  • こちらは4月末の時点で、別のブログでまとめる予定です。

CISAが”Fast Flux”攻撃についてのアドバイザリ

2025/04/03

遺伝子データサイトopenSNPがプライバシーの懸念から閉鎖しデータを削除

  • bleepingcomputerより
  • openSNPプロジェクト(無料のOpenSourceプラットフォーム)が、プライバシーの懸念と権威主義政府による悪用リスクのため、2025年4月30日にサイトを閉鎖しすべてのユーザー投稿を削除するとのことです。

Royal Mailがデータ漏洩疑惑を調査

  • bleepingcomputerより
  • イギリスのRoyal Mailが、脅威アクターによる同社システムから盗み出した144GB以上のデータ公開を受けて、セキュリティ侵害を調査している模様です。

2025/04/02

Phishing-as-a-Serviceの「Lucid」がSMS攻撃の背後に存在

  • bleepingcomputerより
  • 「Lucid」という名のフィッシング・アズ・ア・サービス(PhaaS)プラットフォームは、iMessage(iOS)とRCS(Android)で送信された巧妙に細工されたメッセージを使用して、88か国の169の組織を標的にしています。
  • Lucidは2023年半ばから「XinXinグループ」として知られる中国のサイバー犯罪者によって運営されているそうです。

「Crocodilus」と呼ばれる Android マルウェアがユーザーをだまして暗号通貨ウォレットの鍵を窃取

  • bleepingcomputerより
  • 新たに発見された「Crocodilus」と呼ばれる Android マルウェアが、キーをバックアップするよう警告し、ユーザーをだまして暗号通貨ウォレットのシードフレーズを提供させているそうです。
タイトルとURLをコピーしました