Malware – Page 3 – IoT OT Security News

Ivanti Connect Secure の脆弱性 CVE-2025-0282 が標的：DslogdRAT の展開を検証 – JPCERT/CC

Hackers Exploit Ivanti Connect Secure 0-Day to Deploy DslogdRAT and Web Shell

2025/04/24 gbhackers — Ivanti Connect Secure のゼロデイ脆弱性 CVE-2025-0282 を悪用する脅威アクターが、Web シェルや DslogdRAT などの、高度な悪意のツールを展開している。JPCERT/CC の詳細な分析によると、これらの攻撃が浮き彫りにするのは、サイバー犯罪者たちに頻繁に標的化される、Ivanti 製品における執拗かつ最新のリスクである。

Zoom のリモート・コントロール機能を悪用：巧妙なソーシャル・エンジニアリングに要注意

Hackers Abuse Zoom’s Remote Control to Access Users’ Computers

2025/04/22 gbhackers — 新たに発覚したハッキング攻撃は、Zoom のリモート・コントロール機能を悪用し、企業幹部や暗号通貨に関連する企業を標的とするものだ。被害者のコンピュータを、攻撃者はワンクリックで乗っ取ることができる。この高度な攻撃は、ELUSIVE COMET という脅威グループによるものとされる。技術的な欠陥が悪用されたわけではなく、ソーシャル・エンジニアリングや人為的ミスが原因となり、組織セキュリティにおける最大の弱点となるという、近年の傾向を浮き彫りにしている。

Booking.com を装うフィッシング詐欺：偽の CAPTCHA を使用して AsyncRAT を展開

Booking.com Phishing Scam Uses Fake CAPTCHA to Install AsyncRAT

2025/04/21 HackRead — 偽の Booking.com メールを使用してホテルのスタッフを狙う、新たなフィッシング・キャンペーンが確認された。この攻撃はソーシャル・エンジニアリングを巧みに利用し、被害者自身のシステム上で悪意のコマンドを実行させ、最終的にホテルのネットワークを AsyncRAT に感染させ、さらなる侵害の拡大を目的とするものだ。

npm に潜む悪意のパッケージを発見：Telegram Bot API を装い SSH バックドアを展開

Rogue npm Packages Mimic Telegram Bot API to Plant SSH Backdoors on Linux Systems

2025/04/19 TheHackerNews — npmレジストリ内に存在し、人気の Telegram ボット・ライブラリを装いながら、SSH バックドアとデータ窃取の機能を隠し持つ３つの悪意のパッケージを、サイバー・セキュリティ研究者たちが発見した。

Windows の脆弱性 CVE-2025-24054：NTLM ハッシュ漏洩の大規模キャンペーンが発覚

CVE-2025-24054: Actively Exploited NTLM Hash Disclosure Vulnerability

2025/04/16 SecurityOnline — Windows の脆弱性 CVE-2025-24054 が、積極的に悪用されていると、Check Point Research が警告を発している。この新たに公開された脆弱性だが、細工された “.library-ms” ファイルを悪用する攻撃者に対して、NTLMv2-SSP ハッシュの漏洩を許すとされる。2025年3月11日の修正プログラムで、すでに Microsoft がパッチを提供している脆弱性 CVE-2025-24054 であるが、Windows のサポートが有効な全バージョンに影響を与えるものであり、その公開から２週間も経たないうちに実環境で攻撃に悪用されている。

Ivanti の脆弱性 CVE-2025-22457：APT による攻撃の解析と PoC の提供

Ivanti 0-Day RCE Flaw Exploitation Details Revealed

2024/04/11 gbhackers — Ivanti が公表した、認証不要の深刻なリモート・コード実行 (RCE) の脆弱性 CVE-2025-22457 により、サイバー・セキュリティ業界全体に懸念が広がっている。この脆弱性は複数の Ivanti 製品に影響を及ぼすものであり、攻撃者に対してリモート・コード実行を許すため、企業の機密環境が危険にさらされる可能性がある。その一方で、Rapid7 の脆弱性対策チームなどの研究者たちが、この脆弱性の悪用の方法と、その修正に必要な手順について、詳細な分析結果を公開している。

Windows CLFS の脆弱性 CVE-2025-29824：PipeMagic RAT を介したランサムウェア攻撃で悪用

PipeMagic Trojan Exploits Windows Zero-Day Vulnerability to Deploy Ransomware

2025/04/09 TheHackerNews — Microsoft が明らかにしたのは、Windows Common Log File System (CLFS) に影響を及ぼす、すでに修正済みのセキュリティ脆弱性を、ゼロデイとして悪用するランサムウェア・グループが、標的を絞り込んだ攻撃を仕掛けていることだ。同社は、「この標的には、米国の IT 分野および不動産業界や、ベネズエラの金融業界、スペインのソフトウェア企業、サウジアラビアの小売業界などが含まれる」と述べている。

CISA KEV 警告 25/04/08：Windows CLFS と Gladinet CentreStack の脆弱性を登録

Critical Vulnerabilities: CISA Alerts to Windows CLFS and Gladinet CentreStack Threats

2025/04/09 SecurityOnline — 4月8日付で米国の Cybersecurity and Infrastructure Security Agency (CISA) は、２件の深刻な脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、ユーザーに対して速やかにパッチを適用するよう促している。１つ目は、Microsoft Windows Common Log File System (CLFS) の脆弱性 CVE-2025-29824 であり、２つ目は、Gladinet CentreStack の脆弱性 CVE-2025-30406 である。

Microsoft 2025-04 月例アップデート：１件のゼロデイを含む 134件の脆弱性に対応

Microsoft April 2025 Patch Tuesday fixes exploited zero-day, 134 flaws

2025/04/08 BleepingComputer — 今日は Microsoft の April 2025 Patch Tuesday の日だ。今回のパッチでは、134件の脆弱性に対するセキュリティ・アップデートが提供され、その中には、現時点で悪用されているゼロデイ脆弱性１件が含まれる。なお、今回の月例パッチでは、Critical レベルの脆弱性が 11件も修正されているが、そこにはリモートコード実行の脆弱性も含まれている。

EncryptHub の悪意と SkorikARI の善意：600+ の組織を侵害し Microsoft にはバグを報告する人物とは？

EncryptHub’s dual life: Cybercriminal vs Windows bug-bounty researcher

2024/04/07 BleepingComputer — 618 の組織に対する情報漏洩インシデントに関与したとされる、悪名高い脅威アクター・グループ EncryptHub は、Microsoft に対しても２件の Windows ゼロデイ脆弱性を報告したとみられ、サイバー犯罪とセキュリティ研究の境界線をまたぐ、矛盾した人物の姿を明らかにしている。

Apache Tomcat の脆弱性 CVE-2025-24813 への攻撃：ハッカーたちの高度な戦術を解明する

Hackers Exploit Apache Tomcat Flaw to Hijack Servers and Steal SSH Credentials

2025/04/03 gbhackers — 新たに発見された攻撃キャンmasuペーンにより露呈した、Apache Tomcat サーバの脆弱性 CVE-2025-24813 を悪用するハッカーたちは、リソースの乗っ取りと SSH 認証情報の窃取を可能にしている。この問題の発見から 30 時間以内にボットネットを武器化した一連の攻撃は、暗号化されたペイロードと高度な永続化メカニズムを用いるものであり、Windows／Linux プラットフォームで稼働するシステムに侵入したことを、Aqua Nautilus の研究者たちが明らかにした。

Ivanti ICS の脆弱性 CVE-2025-22457：中国スパイ・グループ UNC5221 による悪用を観測

Ivanti patches Connect Secure zero-day exploited since mid-March

2025/04/03 BleepingComputer — Ivanti が 2025年4月3日に公開したのは、Ivanti Connect Secure (ICS) に存在する、深刻なリモート・コード実行の脆弱性を修正するセキュリティ・アップデートだ。この脆弱性は、中国関連のスパイ・グループにより、遅くとも 2025年3月中旬から、マルウェアの展開で悪用されていたことが確認されている。

Stripe API を悪用する Web スキミング：オンライン・ストアから効率よくクレカ情報を盗み出す

Hackers Exploit Stripe API for Web Skimming Card Theft on Online Stores

2025/04/03 HackRead — オンライン小売業を標的とする高度な Web スキミング・キャンペーンを、Jscamblers のサイバー・セキュリティ研究者たちが発見した。このキャンペーンは、盗み出したクレジットカードの詳細を、レガシー API を介して悪意のサーバへと送信するものだが、その前にリアルタイムで情報を検証する点に特徴がある。この手法により、アクティブで有効なカード番号のみを、攻撃者は収集できるため、侵害における効率と利益が大幅に向上する。

PostgreSQL のインスタンス 1,500+ を悪用：XMRig をファイルレスで展開するキャンペーンとは？

Over 1,500 PostgreSQL Servers Compromised in Fileless Cryptocurrency Mining Campaign

2025/04/01 TheHackerNews — インターネットに露出する PostgreSQL インスタンスが、進行中のキャンペーンのターゲットにされているが、その目的は、不正アクセスの取得と、暗号通貨マイナーの展開にあるという。クラウド・セキュリティ企業 Wiz によると、2024年8月の時点で Aqua Security がフラグを付けた、侵入セットの亜種による活動が検出され、PG_MEM と呼ばれるマルウェア株が展開されているという。このキャンペーンは、Wiz が JINX-0126として追跡している、脅威アクターによるものとされる。

WordPress MU-Plugins の問題点：悪意のコードを実行する３種類のペイロードとは？

Hackers abuse WordPress MU-Plugins to hide malicious code

2025/03/31 BleepingComputer — WordPress の mu-plugins (Must-Use Plugins) ディレクトリを悪用するハッカーたちは、検出を回避しながら、すべてのページで悪意のコードを秘密裏に実行している。この攻撃の手法は、2025年2月に Sucuri のセキュリティ研究者により発見されたものである。その後も、この手法を採用する比率は上昇しており、いまのアクターたちは、このフォルダーを悪用することで、３種類の悪意のコードを実行している。

Ivanti の脆弱性 CVE-2025-0282 が標的：RESURGE という新種のマルウェアに注意

RESURGE Malware Exploits Ivanti Flaw with Rootkit and Web Shell Features

2025/03/30 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Ivanti Connect Secure (ICS) アプライアンスに発生した、現在は修正済みの欠陥を狙ったエクスプロイト活動の一環として展開される、RESURGE という新たなマルウェアについて明らかにした。

CoffeeLoader という最新のマルウェア・ローダーを発見：SmokeLoader との連携も疑われる

CoffeeLoader Malware Loader Linked to SmokeLoader Operations

2025/03/27 InfoSecurity — 新たに特定された CoffeeLoader というマルウェア・ローダーだが、エンドポイント・セキュリティ対策を回避しながら、第２段階のペイロードを展開することが確認されている。Zscaler ThreatLabz の研究者たちは、この 2024年9月に登場したマルウェアを追跡しており、SmokeLoader と組み合わせも確認しているという。

npm パッケージに仕込まれた情報窃取型マルウェア：暗号通貨関連の機密情報を流出？

Infostealer campaign compromises 10 npm packages, targets devs

2025/03/27 BleepingComputer — npm パッケージ 10個が改ざんされ、悪意のコードが仕込まれ、開発者のシステムから環境変数などの機密データが接種されていたことが、Sonatype の最新の調査により明らかになった。この攻撃キャンペーンは複数の暗号通貨関連パッケージを標的としており、その中には、週に数千回ダウンロードされる人気のパッケージ “country-currency-map” も含まれている。

中国ハッカー Weaver Ant：アジアのテレコムへの４年超の不正アクセス

Chinese Hackers Breach Asian Telecom, Remain Undetected for Over 4 Years

2025/03/25 TheHackerNews — 中国の国家支援ハッカーにより４年以上にわたって、あるアジアの大手テレコムがシステム侵入の被害を受けていたことが、インシデント対応企業 Sygnia の最新レポートで明らかになった。Sygnia は、このインシデントを “Weaver Ant” という名称で追跡しており、きわめてステルス性が高く執拗な攻撃者だと述べている。なお、侵入を受けたテレコムの名称は公表されていない。

Raspberry Robin マルウェアの C2 ドメイン約 200件を特定：ロシアとの関係と EU 経由での拡散

Researchers Uncover ~200 Unique C2 Domains Linked to Raspberry Robin Access Broker

2025/03/25 TheHackerNews — Raspberry Robin マルウェアに関連する約 200のユニークな C2 (command-and-control) ドメインが、Silent Push の調査により発見された。Silent Push は、「Raspberry Robin (別名：Roshtyak／Storm-0856) は、複雑で進化し続ける脅威アクターであり、他の犯罪グループに対して初期アクセス・ブローカー (IAB：initial access broker) サービスを提供している。それらのグループの多くは、ロシアとつながりがある」と、 The Hacker News に共有したレポートで述べている。

Microsoft の .NET MAUI を悪用する脅威アクターたち：高機能をマルウェアを量産

Hackers Are Using Microsoft’s .NET MAUI to Spread Android Malware

2025/03/25 HackRead — Microsoft が新たに導入した .NET MAUI アプリ開発ツールを悪用するサイバー犯罪者が、クロス・プラットフォーム機能を備えた Android マルウェアを拡散していることを、McAfee Labs が明らかにした。

Microsoft Trusted Signing：マルウェアのコード署名での悪用が判明

Microsoft Trust Signing service abused to code-sign malware

2025/03/22 BleepingComputer — Microsoft の Trusted Signing プラットフォームを悪用するサイバー犯罪者たちが、有効期限が３日間のコード署名証明書を使って、マルウェアに署名していたことが明らかになった。コード署名証明書を悪用するマルウェアを、正規のソフトウェアに見せかける機会を、以前から攻撃者たちは窺っていた。なぜなら、通常はブロックされやすい未署名の実行可能ファイルと比べて、署名されたマルウェアはセキュリティ・フィルターを回避しやすく、また、疑わしいものとして警戒され難いという利点を持つからだ。

武器化された CAPTCHA に御用心：PowerShell の実行とマルウェアのデプロイ

Attackers Leverage Weaponized CAPTCHAs to Execute PowerShell and Deploy Malware

2025/03/21 gbhackers — 近ごろの高度なサイバー攻撃の急増の背景にあるのは、偽の CAPTCHA チャレンジを悪用してユーザーを騙す、脅威アクターたちの存在である。それにより、悪質な PowerShell コマンドを実行させ、マルウェア感染を引き起こしているという。HP Wolf Security Threat Insights Report for March 2025 が強調する、この戦術は、悪質な Web サイトへと潜在的な被害者を誘導し、検証手順を完了するように促すものである。

CISA KEV 警告 25/03/19：Edimax／ NAKIVO／SAP の脆弱性３件を登録

CISA Warns of Three Actively Exploited Security Vulnerabilities in IoT, Backup, and Enterprise Systems

2025/03/19 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、３件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、サイバー・セキュリティ専門家とシステム管理者に対して緊急の対応を呼びかけている。これらの脆弱性は実際に悪用されており、深刻なリスクをユーザー組織にもたらしている。

Edimax Camera の脆弱性 CVE-2025-1316：パッチが提供されない状況を Mirai が狙っている

Unpatched Edimax Camera Flaw Exploited for Mirai Botnet Attacks Since Last Year

2025/03/17 TheHackerNews — Edimax IC-7100 ネットワーク・カメラに存在する、未修正のセキュリティ上の脆弱性が、Mirat ボットネット・マルウェアの亜種を配信するために、遅くとも 2024年5月以降に、脅威アクターたちにより悪用されている。この脆弱性 CVE-2025-1316 (CVSS v4：9.3) は、深刻な OS コマンド・インジェクションの欠陥であり、それを悪用する攻撃者は、特別に細工されたリクエストにより、影響を受けやすいデバイス上でのリモート・コード実行の可能性を手にする。

Adobe／DocuSign アプリの OAuth リクエストには要注意：Microsoft 365 アカウント乗っ取りが多発

Malicious Adobe, DocuSign OAuth apps target Microsoft 365 accounts

2025/03/16 BleepingComputer — Adobe や DocuSign アプリを装うマルウェアの配信により、Microsoft 365 アカウントの認証情報を盗み出すという、悪質な Microsoft OAuth アプリが、サイバー犯罪者たちにより宣伝されている。このキャンペーンを発見した Proofpoint の研究者たちは、X のスレッド上で “高度に標的を絞った攻撃 ” だと評している。

Black Basta が開発した BRUTED Framework：ブルートフォース攻撃の最適化と自動化

Ransomware gang creates tool to automate VPN brute-force attacks

2025/03/14 BleepingComputer — Black Basta ランサムウェアは、ブルートフォース攻撃を自動化するフレームワーク “BRUTED” を使用し、ファイアウォールや VPN などのエッジ・ネットワーク・デバイスを標的にしている。このグループは、独自に開発した BRUTED により、効果的にネットワークへのイニシャル・アクセスを獲得し、インターネット上に公開された脆弱なエンドポイントへのランサムウェア攻撃を拡大させている。流出した Black Basta の内部チャット・ログを、EclecticIQ の研究者である Arda Buyukkaya が詳細に分析した結果により、この BRUTED の存在が明らかになったという。

DeepSeek R1 とジェイルブレイク：マルウェア生成の能力を試してみた – Tenable 調査

AI Chatbot DeepSeek R1 Can Be Manipulated to Create Malware

2025/03/14 HackRead — オープンソースの AI チャットボットである DeepSeek R1 は、キーロガーやランサムウェアなどの悪意のソフトウェアを、その操作に応じて生成し得ることが、サイバーセキュリティ企業 Tenable Research の新たな分析により明らかになった。Tenable Research の調査は、DeepSeek における有害なコードの生成能力の評価を目的として行われたものであり、２種類の主要なマルウェア・タイプに焦点を当てるものとなっている。具体的には、秘密裏にキー・ストロークを記録するキーロガーと、ファイルを暗号化して身代金を要求するランサムウェアである。

Juniper Junos OS の脆弱性 CVE-2025-21590：攻撃の報告とパッチ適用までの緩和策

Juniper Issues Urgent Fix for Actively Exploited Junos OS Flaw – CVE-2025-21590

2025/03/13 SecurityOnline — Juniper Networks がリリースした緊急のセキュリティ速報は、ローカル攻撃者に対して任意のコード実行を許す可能性のある Junos OS の脆弱性に対処するものである。この脆弱性 CVE-2025-21590 は、Junos OS の複数バージョンに影響を及ぼす。

npm リポジトリ汚染：Lazarus にリンクする６つの悪意のパッケージを発見

North Korean Lazarus hackers infect hundreds via npm packages

2025/03/11 BleepingComputer — npm (node package manager) で発見された６つの悪意のパッケージだが、悪名高い北朝鮮のハッカー集団 Lazarus にリンクしていたことが特定された。これらの 330 回もダウンロードされたパッケージは、アカウント認証情報の窃取／侵害済みシステムへのバックドア展開／機密性の高い暗号通貨情報の抽出などのために設計されていた。このキャンペーンを発見した Socket Research Team によると、一連の悪意のパッケージは、以前から知られている Lazarus のサプライ・チェーン・オペレーションにリンクしていたという。

Cobalt Strike の無許可コピーが 80% も減少：Fortra の２年間にわたる努力が報われてきた

Cobalt Strike Abuse Dropped 80% in Two Years

2025/03/10 SecurityWeek — Cobalt Strike の開発元である Fortra によると、この敵対者シミュレーション・ツールの悪用が、直近の２年間で大幅に減少しているという。Cobalt Strike は、敵対者シミュレーション用に設計された正規のポスト・エクスプロイト・ツールだが、悪意の活動に活用できるクラック版のコピー (通常は旧バージョン) を作成する方法を、脅威アクターたちは見つけ出した。このツールは、利益を追求するサイバー犯罪者と、国家に支援される APT グループにより悪用されている。

Chrome エクステンションに新たな脅威：ポリモーフィック手法で機密情報を盗み出す

New Polymorphic Chrome extensions fake others to steal your data

2025/03/10 ghacks — Chrome の最初のバージョンがリリースされてから、17 年ほどが経つが、その間に私たちが目にしてきたものに、悪意のエクステンションがある。そのラインナップには、偽の VPN エクステンションから、洗練されたセッション・リプレイ・マルウェア・エクステンションにいたるまで、あらゆるものが揃っている。そして、この記事で説明するのは、ポリモーフィック・エクステンションと呼ばれる、新しい悪意の拡張機能のことだが、それが、いま、ユーザーを攻撃するために使用されている。

PHP-CGI の脆弱性 CVE-2024-4577 を悪用：日本の技術／通信／e コマースへの攻撃を観測

PHP-CGI RCE Flaw Exploited in Attacks on Japan’s Tech, Telecom, and E-Commerce Sectors

2025/03/07 TheHackerNews — 2025年1月以降から、日本の組織を主な標的とする悪意のキャンペーンが確認されている。現時点において、その背後にいる脅威アクターの正体は不明だ。2025年3月6日に公開された技術レポートで、「攻撃者は、Windows 上の PHP-CGI 実装に存在するリモート・コード実行 (RCE) の脆弱性 CVE-2024-4577 を悪用し、被害者マシンでイニシャル・アクセスを獲得していた。続いて、一般に公開されている Cobalt Strike kit である TaoWu のプラグインを利用し、侵害後の攻撃活動を行っていた」と、Cisco Talos の研究員である Chetan Raghuprasad は述べている。

大規模ブルートフォース・キャンペーンを検出：米中の 4,000 社以上の ISP が標的

Over 4,000 ISP IPs Targeted in Brute-Force Attacks to Deploy Info Stealers and Cryptominers

2025/03/04 TheHackerNews — 侵害済のホストに情報窃取や暗号通貨マイニングなどのツールを展開する、大規模なエクスプロイト・キャンペーンのターゲットとして、中国と米国西海岸の ISP (Internet Service Providers) が攻撃されている。この悪意のアクティビティにより、データの流出が容易になるだけではなく、標的システム上で永続性を確立するための、各種のバイナリも配信されたと、調査を実施した Splunk Threat Research Team は述べている。

台湾を攻撃する Silver Fox APT：Winos 4.0 マルウェアと洗練された手口とは？

Silver Fox APT Uses Winos 4.0 Malware in Cyber Attacks Against Taiwanese Organizations

2025/02/27 TheHackerNews — 台湾で新たに発見された攻撃キャンペーンは、同国の国税局を装うフィッシング・メールに潜ませた、Winos 4.0 という名のマルウェアにより、企業を狙うものだ。2025年1月に、この攻撃を検出した Fortinet FortiGuard Labs は、悪意のゲーム関連アプリケーションを介していた、それまでの攻撃チェーンからの脱却を示していると指摘している。

Have I Been Pwned に追加された 2億8,000万の漏洩アカウント：あなたも居るかもしれない

Have I Been Pwned adds 284M accounts stolen by infostealer malware

2025/02/25 BleepingComputer — Have I Been Pwned (HIBP) データ侵害通知サービスに追加されたのは、Telegram チャネルで発見された 2億8,400万件以上のアカウントだ。それらの情報は、情報窃盗マルウェアにより盗まれたものであると見られている。

Cisco の脆弱性 CVE-2023-20118 を積極的に悪用：PolarEdgeという名の洗練されたバックドア

Hackers Exploiting Cisco Small Business Routers RCE Vulnerability Deploying Webshell

2025/02/25 gbhackers — Cisco Small Business Router に影響を及ぼす、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2023-20118 が、Web シェルや高度なバックドア・ペイロードを展開するサイバー犯罪者の注目を集めている。

Ivanti ICS の脆弱性 CVE-2025-0282 を悪用：SPAWNCHIMERA マルウェアの洗練度とは？

SPAWNCHIMERA Malware Exploits Ivanti Buffer Overflow Vulnerability by Applying a Critical Fix

2025/02/21 gbhackers — SPAWNCHIMERA マルウェア・ファミリが、Ivanti Connect Secure のバッファ・オーバーフロー脆弱性 CVE-2025-0282 を悪用していることが、最近の JPCERT/CC の調査により確認されている。

Snake Keylogger というマルウェア：Chrome／ Edge／Firefox ユーザーが標的

Snake Keylogger Targets Chrome, Edge, and Firefox Users in New Attack Campaign

2024/02/19 gbhackers — Snake Keylogger (別名 404 Keylogger) の新たな亜種が、Google Chrome／Microsoft Edge／Mozilla Firefox などの Web ブラウザのユーザーを、ターゲットにしていることが判明した。FortiGuard Labs は、高度な AI／ML を搭載した最先端のマルウェア検出プラットフォーム FortiSandbox v5.0 (FSAv5) を使用して、この脅威を特定したという。

Microsoft APP-v Tool を LOLBin として悪用：中国の Mustang Panda が採用する検知回避チェーンとは？

Chinese hackers abuse Microsoft APP-v tool to evade antivirus

2025/02/18 BleepingComputer — 中国の APT ハッキング・グループ Mustang Panda が、Microsoft Application Virtualization Injector ユーティリティを LOLBin として悪用し、正規のプロセスに悪意のペイロードを挿入し、ウイルス対策ソフトウェアによる検出を回避していることが確認された。

FrigidStealer マルウェアに注意：偽のブラウザ・アップデートで macOS ユーザーを騙す

New FrigidStealer Malware Targets macOS Users via Fake Browser Updates

2025/02/18 TheHackerNews — Webインジェクションを悪用する、FrigidStealer という Apple macOS マルウェアを配信する新たなキャンペーンについて、サイバー・セキュリティ研究者たちが警告している。

Telegram を C2 として悪用：Golang ベースの新たなバックドアが発見された

New Golang-based backdoor relies on Telegram for C2 communication

2025/02/17 SecurityAffairs — C2 に Telegram を悪用する Golang ベースのバックドアを、Netskope Threat Labs が発見した。このマルウェアは、現在も開発中のようだが機能しており、クラウド・アプリの悪用により検出を回避している。この新しい Go バックドアは、ロシア起源である可能性があると、専門家たちは考えている。

Ivanti のゼロデイ脆弱性 CVE-2025-0282 が標的：SPAWNCHIMERA という高度なマルウェア

SPAWNCHIMERA: New Malware Exploits Ivanti Zero-Day Flaw (CVE-2025-0282)

2025/02/16 SecurityOnline — SPAWN マルウェア・ファミリーが大幅にアップグレードされ、高ステルス性のサイバー脅威 SPAWNCHIMERA として登場したことが、JPCERT/CC のサイバー・セキュリティ研究者たちにより報告された。この新たな亜種は、2025年1月に公開された Ivanti Connect Secure のバッファ・オーバーフロー脆弱性 CVE-2025-0282 を積極的に悪用している。この脆弱性が公開される以前において、SPAWNCHIMERA マルウェアによる攻撃が特定されたことが、彼らの戦術の大きな変化を表している。

ConnectWise／Fortinet／Exchange／Zimbra の脆弱性が標的：ロシアの BadPilot

CVE-2024-1709 and CVE-2023-48788: Exploits Fueling Russia’s BadPilot Campaign

2025/02/16 SecurityOnline — ロシア政府が支援するハッキング・グループ Seashell Blizzard (別名 APT44／Sandworm／BlackEnergy Lite) のサブグループが、複数年にわたって実行したサイバースパイ活動を、Microsoft Threat Intelligence が明らかにした。この、BadPilot として追跡されるアクティビティは、遅くとも 2021年から実行されており、エネルギー／通信／軍需／行政などの重要セクターに存在する、世界の組織を侵害してきたという。