Aiototsec

Ivanti EPMM の脆弱性 CVE-2025-4427／4428 を武器化：CISA が警告するマルウェアとは？

CISA Alerts of Hackers Targeting Ivanti Endpoint Manager Mobile Vulnerabilities to Distribute Malware

2025/09/19 gbhackers — Ivanti EPMM (Endpoint Manager Mobile) に存在する、深刻な脆弱性 CVE-2025-4427 (認証バイパス)／CVE-2025-4428 (コードインジェクション) を武器化したサイバー脅威アクターたちが、侵害したサーバ上に高度なローダーとリスナーを展開している。このマルウェアを構成する２つのコンポーネントは、Loader 1 (web-install.jar／ReflectUtil.class／SecurityHandlerWanListener.class) と、Loader 2 (web-install.jar／WebAndroidAppInstaller.class) であり、Apache Tomcat 環境に任意コードを挿入して永続性を維持するよう設計されている。

GitHub Actionsワークフローに悪意のコードを注入：PyPI 公開トークン窃取の恐れ

Hackers Injecting Malicious Code into GitHub Actions Workflows to Steal PyPI Publishing Tokens

2025/09/15 CyberSecurityNews — Python Package Index (PyPI) の公開トークンを盗み出すという広範なキャンペーンの一環として、攻撃者たちは GitHub Actions ワークフローに悪意のコードを挿入した。それにより、一部のトークンが GitHub シークレットから盗まれたが、PyPI 管理者によると、プラットフォーム自体は侵害されておらず、盗まれたトークンが使用された証拠も確認されていないという。

ShinyHunters の活動を分析：音声フィッシングに特化した技術に AI 悪用が加わっている

New ‘shinysp1d3r’ Ransomware-as-a-Service Targets VMware ESXi in Ongoing Development

2025/09/18 gbhackers — AI を悪用する ShinyHunters が、ボイスフィッシング／サプライチェーン侵入に加えて、企業ネットワークへの直接アクセスを提供する従業員や請負業者といった悪意の内部関係者を介して、その活動を拡大していると、EclecticIQ のアナリストたちが高い確信を持って評価している。ShinyHunters は、小売／航空／通信などの業界で利用される SSO (single sign-on) プラットフォームへの、不正アクセスを提供するボイスフィッシング・キットを活用するために、Scattered Spider と The Com のメンバーに依存している可能性が高いとされる。

SonicWall がアドバイザリを提供：コンフィグ・バックアップの流出を想定した事後対策

SonicWall Advises Users to Reset Logins After Config Backup Leak

2025/09/18 gbhackers — 最近の情報漏洩により、ファイアウォール・コンフィグのバックアップが流出したことを受け、SonicWall は顧客に対して、すべてのログイン認証情報のリセットを強く推奨している。SonicWall は、リスクの最小化と安全なアクセス回復のために、封じ込め／修復／監視という３つの段階を重視している。ユーザーにとって必要なことは、封じ込め (さらなる漏洩阻止) → 修復 (パスワードと共有秘密のリセット) → 監視 (不正活動の検出) を順番に実行することである。

Microsoft Entra ID の脆弱性 CVE-2025-55241 が FIX：Global Admin への成りすましが可能だった

Critical Microsoft’s Entra ID Vulnerability Allows Attackers to Gain Complete Administrative Control

2025/09/18 CyberSecurityNews — Microsoft の Entra ID に存在する、深刻な脆弱性 CVE-2025-55241 を悪用する攻撃者は、Microsoft のグローバル・クラウド・インフラ内の任意のテナントの、完全な管理権限を取得できる可能性があった。この脆弱性は、従来からの認証メカニズムと API 検証エラーの組み合わせに起因するものであり、2025年9月の Patch Tuesday のタイミングで修正されている。なお、この問題は、最も影響力の大きい脆弱性だと、研究者たちが評するものである。

TP-Link 製ルータのゼロデイ脆弱性 CVE-2025-9961：ASLR 回避による RCE と PoC

TP-Link Router Zero-Day Lets Attackers Execute Code by Bypassing ASLR

205/09/19 gbhackers — TP-Link 製ルータに存在する、ゼロデイ脆弱性 CVE-2025-9961 が発見された。この脆弱性を悪用する攻撃者は、Address Space Layout Randomization (ASLR) を回避し、リモートから任意のコードを実行できるという。この欠陥は CWMP (TR-069)に存在し、不正 SOAP リクエストを介してトリガーされる。その結果として、影響を受けるデバイスの完全な制御が奪われる可能性がある。

Google Chrome のゼロデイ脆弱性 CVE-2025-10585 などが FIX：悪用を観測

Google Chrome 0-Day Vulnerability Actively Exploited in the Wild – Patch Now

2025/09/18 CyberSecurityNews — Google が Chrome の緊急セキュリティ・アップデートを公開した。対象となるのは、現時点で悪用されている、深刻なゼロデイ脆弱性 CVE-2025-10585 である。この脆弱性は、2025年に Chrome で発見／修正された一連のゼロデイ脆弱性の中で、最新の事例である。ユーザーに対して強く推奨されるのは、速やかにブラウザを更新し、潜在的な攻撃から身を守ることである。

PureVPN Linux クライアントに深刻な脆弱性：IPv6 漏洩とファイアウォール侵害

PureVPN Vulnerability Reveals IPv6 Address While Reconnecting to Wi-Fi

2025/09/18 gbhackers — PureVPN の Linux クライアントに深刻な脆弱性が発見された。この脆弱性を悪用する攻撃者により、ネットワーク再接続時にユーザーの IPv6 アドレスが公開され、VPN が提供すべきプライバシー保護が損なわれる可能性がある。この問題は、Linux システムの GUI (Graphical User Interface) バージョン 2.10.0／CLI (Command-Line Interface) バージョン 2.0.1 に影響を及ぼすが、特に顕著なのは Ubuntu 24.04.3 LTS である。

Jenkins の脆弱性 CVE-2025-5115 などが FIX：HTTP/2 サービス拒否と情報漏洩の恐れ

Jenkins Patches Multiple Vulnerabilities that Allow Attackers to Cause a Denial of Service

2025/09/18 CyberSecurityNews — Jenkins が公開したのは、4 件のセキュリティ脆弱性を修正する重要なアップデートである。それらの脆弱性を悪用する未認証かつ低権限の攻撃者は、サービスの妨害や機密性の高いコンフィグ情報を窃取する可能性を手にする。Jenkins Weekly Releases のバージョン 2.527 以下および、Long-Term Support (LTS) ストリームのバージョン 2.516.2 以下を利用している管理者は、これらのリスクを軽減するためのアップグレードが必要となる。

Google の Sheets と Calendar を C2 通信に悪用：中国 APT グループ TA415 の洗練された手法とは？

China-Aligned TA415 Hackers Uses Google Sheets and Google Calendar for C2 Communications

2025/09/17 CyberSecurityNews — 中国政府に支援される脅威アクター TA415 は、米国の政府／学術機関／シンクタンクを標的とする最近のキャンペーンにおいて、Google の Sheets や Calendar といった正規のクラウド・サービスを C2 通信に活用する戦術を示し、TTP (tactics, techniques, and procedures) を進化させている。2025年7月〜8月に、この洗練されたグループは、米中間の戦略と競合に関する特別委員会の現委員長などの著名人を装い、米国と中国の経済をテーマとするルアーを用いたスピアフィッシング攻撃を展開していた。

新たな Magecart 戦術を検知：JavaScript インジェクションにより支払データを盗み出す

New Magecart Attack Injects Malicious JavaScript to Steal Payment Data

2025/09/17 gbhackers — Magecart 風の、新たな攻撃キャンペーンが出現した。このキャンペーンは、悪意の JavaScript インジェクションを介して、オンライン・チェックアウト・フォームから支払いデータを盗み出すものである。この脅威は、セキュリティ研究者である sdcyberresearch が、”cc-analytics[.]com” でのアクティブな攻撃キャンペーンを示唆する、謎めいたツイートを投稿したことで表面化した。

Kubernetes C# Client の脆弱性 CVE-2025-9708 が FIX：API サーバ侵害による中間者攻撃

Kubernetes C# Client Vulnerability Exposes API Server Communication To MiTM Attack

2025/09/17 CyberSecurityNews — 公式 Kubernetes C# Client に、Medium レベルの深刻度を持つ脆弱性が発見された。この脆弱性 CVE-2025-9708 (CVSS：6.8) を悪用する攻撃者は、機密性の高い通信を傍受／操作する可能性を手にする。この不適切な証明書検証ロジックに起因する欠陥により、クライアントを利用するアプリケーションは中間者 (MiTM) 攻撃にさらされ、Kubernetes API サーバに送信される認証情報／トークンなどの機密データに侵害の恐れが生じている。

OneDrive Auto-Sync について考えよう：機密情報が SharePoint Online に自動バックアップ？

Microsoft OneDrive Auto-Sync Flaw Leaks Enterprise Secrets from SharePoint Online

2025/09/17 gbhackers — Entro Labs の最新レポートにより判明したのは、大規模組織で漏洩した機密情報の約 20% が、SharePoint に起因するという結果である。それは、SharePoint 自体の欠陥ではなく、OneDrive のデフォルト自動同期という単純な利便性の機能に起因するものだ。Desktop や Documents といった重要なフォルダが、OneDrive により SharePoint Online に自動バックアップされることで、個人ファイルが企業機密情報の宝庫に変化する可能性があるのだ。

Shai-Halud による大規模サプライチェーン攻撃：477 件の npm パッケージにバックドアとトロイの木馬

Massive “Shai-Halud” Supply Chain Attack Compromised 477 NPM Packages

2025/09/17 CyberSecurityNews — Shai-Halud と呼ばれる大規模なサプライチェーン攻撃が、npm レジストリを介して JavaScript エコシステムに侵入してきた。CrowdStrike のパッケージなど、合計で 477 個の npm パッケージに仕込まれたのは、認証情報の窃取／ソースコードの流出／開発者マシン上での RCE などを目的とする、ステルス性の高いバックドアおよびトロイの木馬化のモジュールである。

Linux Kernel KSMBD の脆弱性 CVE-2025-38501 が FIX：リモートからの SMB サービス停止の可能性

Linux Kernel KSMBD Flaw Lets Remote Attackers Drain Server Resources

2025/09/17 gbhackers — Linux Kernel の KSMBD 実装に、深刻な脆弱性 CVE-2025-38501 が発見された。この脆弱性を悪用するリモート攻撃者は、単純なサービス拒否 (DoS) 攻撃により、サーバに接続されるリソースを完全に枯渇させることが可能になる。この脆弱性は、通称 KSMBDrain と呼ばれ、すべての利用可能な接続を消費する攻撃者により、SMB サービスの停止が引き起こされる可能性がある。

Windows Boot Manager の脆弱性 BitPixie：BitLocker 回避による権限昇格の恐れ

Hackers Can Exploit Bitpixie Vulnerability to Bypass BitLocker Encryption and Escalate Privileges

2025/09/17 CyberSecurityNews — Windows Boot Manager に存在する、深刻な脆弱性 BitPixie を悪用する攻撃者は、BitLocker ドライブ暗号化を回避し、Windows システム上でローカル権限を昇格できる。この脆弱性は 2005年～2022年にリリースされた Boot Manager に影響を及ぼすものだが、ダウングレード攻撃により、更新済みシステムが標的にされる可能性があるため、エンタープライズ環境に重大なセキュリティ・リスクが生じている。

Google の新たな LLM VaultGemma：差分プライバシーでの学習と個人情報保護の強化

Google introduces, a differentially private LLM built for secure data handling

2025/09/16 HelpNetSecurity — Google が発表した、大規模言語モデル (LLM) VaultGemma は、トレーニング中に用いる機密データを、非公開に保つよう設計されたものだ。このモデルは、差分プライバシー技術を用いて個々のデータ・ポイントの露出を防ぐため、医療／金融／政府などの分野での、機密情報の安全な取り扱いを可能にする。

Shai-Hulud という自己複製型のワーム：180 件以上の npm パッケージを侵害

Self-replicating worm hits 180+ npm packages in (largely) automated supply chain attack

2025/09/16 HelpNetSecurity — npm レジストリで公開されているパッケージに対し、自己複製のワーム型ペイロードを展開するという、大規模なサプライチェーン攻撃が進行している。このワームは、侵害したパッケージの実行環境から被害者の認証情報を窃取し、その内容を攻撃者が管理する公開 GitHub リポジトリに送信するものであり、Shai-Hulud と呼称されている。そして、窃取した npm 認証トークンを用いて感染と侵害のサイクルを維持し、さらに侵害した GitHub トークンを利用して、非公開リポジトリを公開することが確認されている。

Chaos Mesh における複数の脆弱性が FIX：Kubernetes クラスタ乗っ取りの恐れ

Chaos Mesh Critical GraphQL Flaws Enable RCE and Full Kubernetes Cluster Takeover

2025/09/16 TheHackerNews — Chaos Mesh に複数の深刻なセキュリティ脆弱性が存在することを、サイバー・セキュリティ研究者たちが明らかにした。これらの脆弱性が悪用されると、Kubernetes 環境におけるクラスタの完全乗っ取りに至る可能性があるという。

AWSDoor によるコンフィグ・ベースの永続化手法：AWS 環境内にマルウェアを隠蔽

AWSDoor – New Persistence Technique Allows Attackers to Hide Malware Within AWS Cloud Environment

2025/09/16 CyberSecurityNews — 攻撃者たちは、クラウド環境への長期的アクセスを維持するために、高度な手法を活用している。そして、新たに登場した AWSDoor という手口が、強大な脅威になり始めている。この悪意のツールは、IAM およびリソース・ベースの永続化手法を自動化し、従来からのマルウェアを配備することなく、AWS アカウント内に潜み続ける。

CrowdStrike の npm パッケージに Shai-Halud サプライチェーン攻撃：認証情報の流出／不正なコード実行

CrowdStrike npm Packages Hit by Supply Chain Attack

2025/09/16 gbhackers — 新たなサプライチェーン攻撃により、crowdstrike-publisher アカウントで管理されている複数の npm パッケージが侵害され、Shai-Halud と呼ばれる攻撃が継続的に展開されている。これらのパッケージを使用している、開発者および組織にとって必要なことは、直ちに対策を講じて認証情報を保護し、不正なコード実行を防ぐことだ。

WordPress Case Theme User プラグインの脆弱性 CVE-2025-5821 が FIX：認証バイパスと管理者権限の奪取

WordPress Plugin Vulnerability Let Attackers Bypass Authentication via Social Login

2025/09/16 CyberSecurityNews — WordPress Case Theme User プラグインに、深刻な認証バイパスの脆弱性 CVE-2025-5821 (CVSS：9.8) が発見された。この脆弱性を悪用する未認証の攻撃者は、ソーシャル・ログイン機能を悪用することで、Web サイトの管理者権限を取得する可能性があるため、深刻なセキュリティ脅威が生じている。この脆弱性が影響を及ぼす範囲は、バージョン 1.0.3 以下であり、世界中の約 12,000 のアクティブ・インストールが対象となる。標的のメール・アドレスを特定できる攻撃者であれば、認証を完全にバイパスし、管理者レベルの任意のユーザー・アカウントに不正アクセスできる。

悪意の MCP Server を PoC として構築：任意のコード実行とデータ窃取が実証された

Threat Actors Exploit MCP Servers to Steal Sensitive Data

2025/09/16 gbhackers — 検証されていない MCP (Model Context Protocol) サーバは、攻撃者によるマルウェアの配備を必要とすることなく、ステルス性の高いサプライチェーン攻撃ベクターを生み出し、認証情報／コンフィグ・ファイルなどの機密情報の収集を可能にする。この MCP とは、AI アシスタント向けの新しい “plug-in bus” であり、外部ツールやデータソースと AI モデルとの間のシームレスな統合を実現するものだ。

Linux Kernel KSMBD の脆弱性 CVE-2023-52440／CVE-2023-4130 の連鎖：N-Day RCE の PoC が登場

0-Click Linux Kernel KSMBD Vulnerability Enables Remote Code Execution via N-Day Exploit

2025/09/16 gbhackers — Linux Kernel の KSMBD モジュールに存在する脆弱性 CVE-2023-52440／CVE-2023-4130 を悪用する攻撃者は、ユーザーによる介入を必要とせずに、標的システム上での任意のコード実行の可能性を得るという。KSMBD とは、ネットワーク・ファイル共有を処理するための、カーネル空間における SMB3 サーバのことである。研究者たちが到達したのは、Linux 6.1.45 の KSMBD に対する安定したエクスプロイトであり、95% 以上の確率でリモート・コード実行 (RCE) を引き起こせる状況である。

npm の 40 パッケージに侵害が波及：TruffleHog による偵察と感染チェーンのためのコード挿入

40 npm Packages Compromised in Supply Chain Attack Using bundle.js to Steal Credentials

2025/09/16 TheHackerNews — npm レジストリを標的とする、新たなソフトウェア・サプライチェーン攻撃の存在を、サイバー・セキュリティ研究者たちが指摘している。この攻撃は、複数のメンテナーが所有する 40 以上のパッケージに影響を与えている。サプライチェーン・セキュリティ企業 Socket は、「侵害されたバージョンに取り込まれた NpmModule.updatePackage 関数は、パッケージの tarball をダウンロードし、package.json を改変し、ローカル・スクリプト (bundle.js) を挿入し、アーカイブを再パックして再公開するものだ。それにより、下流のパッケージが自動的にトロイの木馬化される」と述べている。

Spring Security の脆弱性 CVE-2025-41248／41249 が FIX：認証バイパスの恐れ

Spring Framework Security Flaws Allow Authorization Bypass and Annotation Detection Issues

2025/09/16 gbhackers — 2025年9月15日に、Spring Framework および Spring Security ライブラリに存在する、深刻度が中程度の２件の脆弱性が公開された。どちらの脆弱性も、Spring Security のメソッド・セキュリティ機能で使用されるアノテーション検出メカニズムに関連するものであり、パラメータ化された型や無制限のジェネリック・スーパークラスを利用するアプリケーションで、認証バイパスを引き起こす可能性がある。

AppSuite-PDF／PDF Editor の戦術：26種類のコード・サイニング証明書を悪用

AppSuite-PDF, PDF Editor Operators Exploited 26 Code-Signing Certificates to Fake Legitimacy

2025/09/15 gbhackers — AppSuite-PDF／PDF Editor キャンペーンを分析したところ、その開発者は、これまでの７年間で少なくとも 26種類のコード・サイニング証明書を悪用し、BaoLoader と呼ばれるマルウェアの正当性を高めていたことが判明した。以前、このマルウェアは迷惑プログラム (PUP：potentially unwanted programs) に分類されていたが、最近の調査と明白な詐欺との関連性から、分類の見直しと厳格な監視が必要となっている。

Kimsuky による ChatGPT の悪用：ディープフェイク ID による標的型フィッシング攻撃

Hackers using generative AI “ChatGPT” to evade anti-virus defenses

2025/09/15 gbhackers — Kimsuky APT グループは ChatGPT を悪用し、韓国軍機関の ID カードのディープフェイクを作成し始めた。このフィッシング詐欺のルアーは、高度に難読化されたバッチ・ファイルと AutoIt スクリプトで構成され、ウイルス対策スキャンを回避するよう設計されている。したがって、組織にとって必要なことは、隠されたスクリプトを検知し、エンドポイントを保護するために、EDR ソリューションを導入することだ。

Linux CUPS の脆弱性 CVE-2025-58364／58060：リモート DoS 攻撃と認証バイパスの恐れ

Linux CUPS Vulnerability Let Attackers Remote DoS and Bypass Authentication

2025/08/15 CyberSecurityNews — Linux Common Unix Printing System (CUPS) に２件の深刻な脆弱性 CVE-2025-58364／CVE-2025-58060 が発見された。これらの脆弱性を悪用する攻撃者は、リモートからのサービス拒否 (DoS) 攻撃／認証バイパス攻撃などを引き起こし、膨大な数のシステムを危険に直面させる。この問題は、ほぼすべての Linux ディストリビューションで使用される印刷コア・インフラに影響を与え、ネットワーク・セキュリティに深刻なリスクをもたらすという。

FlowiseAI の脆弱性 CVE-2025-58434：アカウント乗っ取りに No Patch／Yes PoC

FlowiseAI Password Reset Token Vulnerability Allows Account Takeover

2025/09/15 CyberSecurityNews — FlowiseAI が公表したのは、Flowise プラットフォームに存在する深刻な脆弱性 CVE-2025-58434 の情報である。この脆弱性の悪用に成功した攻撃者は、最小限の労力でアカウントを完全に乗っ取ることが可能になる。クラウド環境 (cloud.flowiseai.com) とセルフホスト環境に影響を及ぼすため、この AI エージェント構築プラットフォームを利用する組織にとって、広範なセキュリティ上の懸念が生じている。

IBM QRadar SIEM の脆弱性 CVE-2025-0164：権限昇格によるコンフィグ・ファイル改竄の恐れ

IBM QRadar SIEM Vulnerability Allows Unauthorized Actions by Attackers

2025/09/15 gbhackers — IBM QRadar SIEM の権限に関する脆弱性により、適切な権限を持たないローカル・ユーザーが、コンフィグ・ファイルを変更できる可能性が生じている。この脆弱性 CVE-2025-0164 は、重要なリソースに対する権限の割り当て不備に起因し、導入済みのセキュリティ監視環境の整合性が損なわれる恐れがある。すでに IBM は、暫定修正をリリースしており、管理者に対して速やかな適用が強く推奨されている。

Villager という AI ネイティブ・ペンテスト・ツール：大規模な攻撃の計画／適応／実行を可能にする

AI Pentesting Tool ‘Villager’ Merges Kali Linux with DeepSeek AI for Automated Security Attacks

2025/09/13 gbhackers — Straiker AI Research (STAR) チームのセキュリティ研究者たちが発見したのは、中国に拠点を置く Cyberspike グループが開発した AI ネイティブのペンテスト・フレームワーク Villager である。このフレームワークは、公式 Python Package Index (PyPI) での公開から２ヶ月以内に、すでに１万回以上のダウンロードを記録している。このツールは、Kali Linux ツールセットと DeepSeek AI モデルを組み合わせて、ペンテストのワークフローを完全に自動化するものだが、そこで懸念されるのは、Cobalt Strike の軌跡と同様に、二重使用により悪用へと至る可能性である。

GitHub リポジトリの “dangling” コミットが標的：新たなマルバタイジング・キャンペーンが発覚

New Malvertising Campaign Exploits GitHub Repositories to Distribute Malware

2025/09/12 gbhackers — 正規の GitHub リポジトリの “dangling” コミットを介して無防備なユーザーを狙うという、巧妙なマルバタイジング・キャンペーンが発覚した。この攻撃者は、人気の開発プロジェクトや OSS プロジェクトに、偽造 GitHub Desktop インストーラーのプロモーション・コンテンツを挿入している。正規のクライアントを装うインストーラーをダウンロードすると、バックグラウンドで悪意のペイロードが密かに配信され、ユーザーには気づかれることなく、システムが迅速に侵害される。

EvilAI というマルウェアを検出：LLM を用いて生成され静的シグネチャ・スキャナを回避

EvilAI: Leveraging AI to Steal Browser Data and Evade Detection

2025/09/12 gbhackers — Trend Research が追跡する新たなマルウェア・ファミリー EvilAI が、この数週間にわたり、正規の AI 駆動型ユーティリティを装いながら活動している。これらのトロイの木馬は、プロフェッショナルなユーザー・インターフェイスや有効なコード署名に加えて実際の機能を備えており、企業／個人のセキュリティ対策を回避していく。

Windows Defender Firewall の脆弱性４件が FIX：認証済み攻撃者による権限昇格の恐れ

Windows Defender Firewall Vulnerabilities Let Attackers Escalate Privileges

2025/09/12 CyberSecurityNews — Microsoft が修正したのは、Windows Defender Firewall service に存在する４件の権限昇格の脆弱性である。いずれも深刻度は Important であり、2025年9月9日の Patch Tuesday で修正され、その詳細が説明されている。これらの脆弱性 CVE-2025-53808／CVE-2025-54104／CVE-2025-54109／CVE-2025-54915 が悪用された場合には、影響を受けるシステム上で、認証済みの攻撃者に高権限の取得を許すとされる。

L7 DDoS Botnet が動員するデバイス数は 5.76M：３月から９月にかけて規模を急速に拡大

L7 DDoS Botnet Hijacked 5.76M Devices to Launch Massive Attacks

2025/09/12 CyberSecurityNews — 2025年3月初旬に Qrator Labs のセキュリティ・チームが観測したのは、複数の分野の Web アプリを標的とする、前例のない規模の L7 DDoS ボットネットである。このボットネットは当初、133万台のデバイスを侵害していたが、その後に勢力を急速に拡大し、HTTP GET フラッド攻撃を利用してサーバ・リソースを枯渇させ、従来のレート制限を回避していった。

ToneShell の最新亜種を検知：Scheduler COM を悪用する Mustang Panda グループの戦略とは？

New ToneShell Variant Uses Task Scheduler COM Service to Maintain Persistence

2025/09/12 gbhackers — ToneShell の最新の亜種は、Windows Task Scheduler COM サービスを悪用する戦術により、永続化における顕著な進化を示している。これまでは、この軽量バックドアは、DLL サイド・ローディング手法で配信されていたが、新たな機能として高度な永続化メカニズムと解析回避を搭載しており、セキュリティ・チームにとって大きな課題が生じている。Intezer のサイバー・セキュリティ研究者たちが確認した、ToneShell バックドアの新亜種は、中国拠点の Mustang Panda グループにおける攻撃手段の進化を示すものである。

AdaptixC2 フレームワークを悪用：ファイルレス攻撃と多段階侵害の実体を分析

Threat Actors Leveraging Open-Source AdaptixC2 in Real-World Attacks

2025/09/11 CyberSecurityNews — オープンソースの AdaptixC2 が、現実の世界の攻撃で、脅威アクターたちに悪用されている。2025年5月初旬に Palo Alto Networks Unit 42 のセキュリティ・チームが観測したのは、ポスト・エクスプロイトにおける、このフレームワークの悪用の急増である。本来の AdaptixC2 は、ペンテスト支援を目的とするフレームワークであり、ファイル・システム操作／プロセス列挙／秘密チャネルのトンネリングなど機能を提供しているが、いまでは攻撃者たちにより悪用されている。

ArgoCD に対する新たな攻撃手法：Kubernetes の内部 DNS 解決を悪用して Git 認証情報を窃取

New Attack Technique That Enables Attackers To Exfiltrate Git Credentials In Argocd

2025/09/11 CyberSecurityNews — 人気の GitOps ツール ArgoCD 内において、新たに公開された攻撃手法を用いる認証済みユーザーであれば、強力な Git 認証情報を窃取できることが、サイバー・セキュリティ研究グループ Future Sight により明らかにされた。この攻撃手法は、Kubernetes の内部 DNS 解決を悪用して、転送中の認証情報を傍受するものであり、CD (continuous delivery) ツールを利用する組織にとって深刻なリスクとなる。

Angular の SSR 脆弱性 CVE-2025-59052 が FIX：機密データ漏洩の恐れ

Angular SSR Vulnerability Lets Attackers Access Sensitive Data

2025/09/11 CyberSecurityNews — Angular の SSR (server-side rendering) 実装に、深刻な脆弱性 CVE-2025-59052 が発見された。この脆弱性を悪用する攻撃者は、機密性の高いユーザー・データにアクセスする可能性を手にする。この欠陥の原因は、Angular におけるコンカレント・リクエスト処理の方法にあり、あるユーザーのセッション・データが、別のユーザーへと漏洩する可能性がある。

npm エコシステムを狙ったサプライチェーン攻撃：収益は $200 未満だったが狙いは別のところに？

Hackers Booked Very Little Profit with Widespread npm Supply Chain Attack

2025/09/11 CyberSecurityNews — 8月下旬に表面化した高度な npm サプライチェーン攻撃は、人気の JavaScript ライブラリに悪意のペイロードを挿入し、数千の下流プロジェクトを標的としたものである。当初の報告では、タイポスクワッティング手法の新たな亜種が指摘されていたが、その後の分析で、侵害されたメンテナの認証情報を用いて、バックドア付きモジュールを正規パッケージ名で公開するという、より精巧な攻撃であることが明らかになった。

Palo Alto Networks User-ID Credential Agent の脆弱性 CVE-2025-4235 が FIX：平文パスワード漏洩の恐れ

Palo Alto Networks User-ID Agent Flaw Leaks Passwords in Cleartext

2025/09/11 gbhackers — Windows システム上の Palo Alto Networks User-ID Credential Agent で、新たな脆弱性が発見された。デフォルト以外の特定のコンフィグにおいて、この脆弱性 CVE-2025-4235 (CVSS：4.2) が悪用されると、サービス・アカウントのパスワードが平文で漏洩する可能性がある。Palo Alto Networks は 2025年9月10日に詳細とガイダンスを公開し、アップグレードまたは緩和策の適用をユーザーに推奨し、権限昇格やサービス中断のリスクを回避するよう促している。

NVIDIA NVDebug の脆弱性 CVE-2025-23342／23343／23344 が FIX：権限昇格／任意のコード実行

NVIDIA NVDebug Tool Vulnerability Let Attackers Escalate Privileges

2025/09/11 CyberSecurityNews — NVIDIA が公開した、NVDebug ツール向けのセキュリティ・アップデートは、権限昇格／コード実行／データ改竄を許す可能性のある、３件の深刻な脆弱性に対処するものだ。このセキュリティ・アドバイザリには、それらの脆弱性についての詳細が説明されている。NVIDIA がユーザーに対して強く推奨するのは、最新バージョンの速やかな導入により、システムを保護することだ。

CoreDNS の脆弱性 CVE-2025-58063 が FIX：長期的なキャッシュ・ポイズニングの可能性

CoreDNS Vulnerability Allows Attackers to Poison DNS Cache and Block Updates

2025/09/11 gbhackers — CoreDNS の etcd プラグインに存在する深刻な脆弱性により、攻撃者が DNS レコードを長期間キャッシュに保持し、正当な更新を事実上ブロックできる可能性があるという。この脆弱性 CVE-2025-58063 は、etcd リース ID の不適切な処理に起因するものである。GitHub の研究者によると、この問題が影響を及ぼす範囲は、CoreDNS のバージョン 1.2.0 以降であり、バージョン 1.12.4 で修正されている。セキュリティ・チームにとって必要なことは、TTL 設定の更新および見直しを早急に実施し、長期的なキャッシュ・ポイズニングを防ぐことである。

Cisco IOS XR の脆弱性 CVE-2025-20248／20340／20159 が FIX：イメージ署名バイパスなどの可能性

Cisco Patches High-Severity IOS XR Vulnerabilities

2025/09/11 SecurityWeek — 9月10日 (水) に Cisco は、September 2025 セキュリティ・アドバイザリを公開し、IOS XR ソフトウェアの３件の脆弱性に対処するパッチをリリースした。１つ目の脆弱性 CVE-2025-20248 (CVSS：6.0) は、IOS XR のインストール・プロセスにおける高リスクの問題であり、イメージ署名の検証バイパスの可能性を、攻撃者に対して許すものだ。

SonicWall の不適切なアクセス制御の脆弱性 CVE-2024-40766：積極的な悪用を検知

ACSC Warns of Actively Exploited SonicWall Access Control Vulnerability

2025/09/11 gbhackers — オーストラリアの ACSC (Australian Cyber Security Centre) が発した緊急警告は、SonicWall ファイアウォール・デバイスに存在する深刻な脆弱性に関するものであり、脅威アクターにより積極的に悪用されているという。脆弱性 CVE-2024-40766 (CVSS v3.0：9.3：Critical) が影響を及ぼす範囲は、複数世代の SonicWall デバイスにおける、SonicOS 管理アクセスおよび SSLVPN 機能である。

Cursor AI Code Editor の脆弱性 CVE-N/A：Workspace Trust 無効化による悪意の自動実行

Cursor AI Code Editor RCE Vulnerability Enables “autorun” of Malicious on your Machine

2025/09/10 CyberSecurityNews — Cursor AI Code Editor に、リモート・コード実行の脆弱性が発見された。この脆弱性により、悪意のコード・リポジトリが自動的に開かれ、ユーザーのマシン上でコードが実行される可能性がある。この脆弱性を発見した Oasis Security の研究チームは、人気エディタのデフォルト・コンフィグの悪用による、一般的なユーザー・プロンプトのバイパスを実証している。

GitLab の深刻な脆弱性 CVE-2025-6454／2256 などが FIX：DoS と SSRF の可能性

Multiple Vulnerabilities in GitLab Patched, Blocking DoS and SSRF Attack Vectors

2025/09/10 gbhackers — GitLab が公開したのは、６件の深刻な脆弱性に対応するための、重要なセキュリティ・アップデートである。それらの脆弱性は複数バージョンに影響を及ぼし、サービス拒否攻撃／サーバサイド・リクエスト・フォージェリ (SSRF)／情報漏洩などを引き起こす可能性のあるものだ。GitLab は、Community／Enterprise Edition のバージョン 18.3.2／18.2.6／18.1.6 をリリースし、すべてのセルフ・マネージド環境に対して、速やかなアップグレードを強く推奨している。

Active Directory Domain Services の脆弱性 CVE-2025-21293：ドメイン・コントローラの完全制御にいたる

Microsoft Warns of Active Directory Domain Services Vulnerability, Let Attackers Escalate Privileges

2025/09/10 CyberSecurityNews — Microsoft が発表したのは、Active Directory ドメイン・サービスに存在する、深刻なセキュリティ脆弱性 CVE-2025-21293 に関する警告である。すでにシステムへの初期アクセスを取得している攻撃者が、この脆弱性の悪用に成功すると権限昇格を達成し、影響を受けるドメイン・コントローラを完全に制御することで、ネットワーク・インフラのセキュリティ侵害の可能性が生じる。

Microsoft Office の RCE 脆弱性 CVE-2025-54910／54906 が FIX：悪意のファイルに要注意

Critical Flaws in Microsoft Office Enable Remote Code Execution by Attackers

2025/09/10 gbhackers — Microsoft が 2025年9月9日の Patch Tuesday で公開したのは、Office スイートに存在する２件の深刻なセキュリティ脆弱性に関する情報である。これらの脆弱性を悪用する攻撃者は、影響を受けるシステム上で任意のコードを実行できる。脆弱性 CVE-2025-54910／CVE-2025-54906 が影響を及ぼす範囲は、Windows 版の Microsoft Office であり、攻撃に成功した攻撃者に、マシンの完全な制御を奪われる可能性がある。