Spyware – IoT OT Security News

FreeVPN.One という人気の Chrome エクステンション：正常なアプリからスパイウェアへと変貌していた

Legitimate Chrome VPN with 100K+ Installs Secretly Captures Screenshots and Exfiltrates Sensitive Data

2025/08/20 gbhackers — FreeVPN.One として提供される Chrome エクステンションは、10 万件以上のインストール数／認証バッジなどにより Chrome Web Store 注目を集めていたが、その実態は、ユーザーのブラウジング・アクティビティのスクリーンショットを密かに取得し、リモート・サーバへと送信するスパイウェアだった。

Apple Messages の脆弱性を悪用するスパイウェア Graphite：イタリア政府を非難するイスラエルの Paragon

Apple confirmed that Messages app flaw was actively exploited in the wild

2025/06/13 SecurityAffairs — Apple が公表したのは、Messages アプリに存在する、現在ではパッチ適用済の脆弱性 CVE-2025-43200 が、ジャーナリストを標的とする Paragon のスパイウェア Graphite で悪用されたことの確認である。

Signal／Discord の位置情報が漏れる：CDN キャッシュの追跡とデータセンターの特定

Signal and Discord Vulnerabilities Exposed: 0-Click Deanonymization Attack Revealed

2025/01/22 SecurityOnline — セキュリティ研究者である Daniel (別名 hackermondev) が明らかにしたのは、ユーザーの位置情報を公開できる、ゼロ・クリックによる匿名化解除の攻撃の可能性である。この攻撃は、Signal や Discord などのアプリケーションをターゲットにするものであり、Cloudflare のインフラのキャッシュ・メカニズムを悪用して、ユーザー操作を必要とすることなく、半径 250 マイル以内のユーザーの位置情報を推測するというものだ。

WinZip の脆弱性 CVE-2024-8811 が FIX：Windows の MoTW を無効化

CVE-2024-8811: WinZip Flaw Allows Malicious Code Execution

2024/11/22 SecurityOnline — 人気のファイル・アーカイブ・ツールである WinZip に、重大な脆弱性 CVE-2024-8811 (CVSS：7.8) が発見された。この脆弱性の悪用に成功した攻撃者は、セキュリティをバイパスし、ユーザーのシステム上で悪意のコード実行の可能性を得る。この WinZip の脆弱性 CVE-2024-8811 は、Mark-of-the-Web を処理する方法に起因するものであり、バージョン 76.8 未満に影響を及ぼす。

Apple iOS ゼロデイを狙う Triangulation：巧妙な手口と検出回避のテクニックとは？

iOS Zero-Day Attacks: Experts Uncover Deeper Insights into Operation Triangulation

2023/10/24 TheHackerNews — Apple iOS デバイスを標的とする TriangleDB というインプラントは、少なくとも４種類のモジュールを搭載するようだ。その内容は、マイクの録音／iCloud Keychain の抽出／SQLite データベースからのデータの窃取／位置情報の窃取などと推定されている。この Operation Triangulation と名付けられたキャンペーンを操る敵対者は、侵害したデバイスから機密情報を密かに盗み出す一方で、その痕跡を隠蔽するために多大な労力を費やしたと、Kaspersky は詳述している。

Google Chrome のゼロデイ CVE-2023-5217 が FIX：スパイウェアによる悪用を確認

Google fixes fifth actively exploited Chrome zero-day of 2023

2023/09/27 BleepingComputer — 9月27日にリリースされた緊急セキュリティ・アップデートで Google は、今年に入ってから攻撃に悪用された５番目の、Chrome のゼロデイ脆弱性にパッチを適用した。Google のアドバイザリには、「脆弱性 CVE-2023-5217 の悪用が、野放し状態で攻撃されていることを認識している」と記されている。このセキュリティの脆弱性は、Google Chrome 117.0.5938.132 で対処され、Windows／Mac／Linux ユーザー向けの Stable Desktop チャネルを介して、全世界に展開される。

CISA KEV 警告 23/09/11：Apple のゼロデイ CVE-2023-41064 など

CISA Adds Recently Discovered Apple Zero-Days To Known Exploited Vulnerabilities Catalog

2023/09/11 SecurityAffairs −−− 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、iMessage ゼロクリック攻撃で悪用される脆弱性 BLASTPASS を、KEV (Known Exploited Vulnerabilities Catalog) カタログに追加した。これらのゼロデイ脆弱性 CVE-2023-41064／CVE-2023-41061 は、Image I/O および Wallet フレームワークに存在し、iPhone に NSO Group の Pegasus スパイウェアをインストールするために悪用されていた。

Google Play に偽 Telegram アプリ：隠されたスパイウェアに数百万人が感染

Millions Infected by Spyware Hidden in Fake Telegram Apps on Google Play

2023/09/09 TheHackerNews — Google Play ストアで Telegram を装い、侵害した Android デバイスから機密情報を収集するという、スパイウェアが発見された。Kaspersky のセキュリティ研究者である Igor Golovin によると、このアプリには、名前／ユーザー ID／連絡先／電話番号／チャット・メッセージなどを取得し、脅威アクターが管理するサーバーに流出させるという、悪質な機能が搭載されているという。

Apple が大規模なセキュリティ・アップデートを実施：カーネルの脆弱性 CVE-2023-38606 などが FIX

Apple Patches Another Kernel Flaw Exploited in ‘Operation Triangulation’ Attacks

2023/07/24 SecurityWeek — 7月24日に Apple は、同社の主力プラットフォームである iOS／macOS／iPadOS に対して、大規模なセキュリティ・アップデートを行なった。今回のアップデートには、iOS／macOS におけるコード実行の深刻な脆弱性に対するパッチも含まれている。また、Apple によると、iOS／iPadOS／macOS 搭載デバイスに影響する、カーネルの脆弱性 CVE-2023-38606 は、iOS 15.7.1 以下において、すでに活発に悪用されていたという。

中国由来のスパイウェア：Google Play Store で発見された２つのファイル管理ツールとは？

Chinese Spyware Discovered on Google Play Store

2023/07/07 InfoSecurity — Google Play Store で発見された、ファイル管理ツールを装う２つのスパイウェア・アプリは、少なくとも合計で 150万回もインストールされたという。サイバーセキュリティ企業 Pradeo が発見した、これらのアプリは同じ開発者によるものであり、同様の悪意のある動作を示し、ユーザーの操作なしで動作する。これらのアプリの主な目的は、ユーザーの機密データを秘密裏に抽出し、中国に拠点を置く悪意のあるサーバーに送信することである。この発見は Google に報告された。

Letscall という音声フィッシング：自前のコールセンターを備えて銀行と顧客を騙す

Vishing Goes High-Tech: New ‘Letscall’ Malware Employs Voice Traffic Routing

2023/07/07 TheHackerNews — Letscall と呼ばれる、音声フィッシング (vishing) の新たな高度な形態について、研究者たちが警告を発している。現時点において、この手口により、韓国の個人が標的にされているようだ。Letscall の背後にいる犯罪者たちは、ユーザーを欺いて偽の Google Play Store の Web サイトから、悪意のアプリをダウンロードさせるために、多段階攻撃を採用している。悪意のソフトウェアがインストールしてしまうと、ユーザーへの着信は犯罪者の管理下にあるコールセンターにリダイレクトされる。そして、最終的には、銀行の行員を装うように訓練されたオペレーターが、疑うことを知らない被害者から機密情報を引き出すことになるという。

SpinOk というスパイウェア：Google Play アプリに組み込まれ 420M ダウンロード！

Spyware Found in Google Play Apps With Over 420 Million Downloads

2023/05/31 SecurityWeek — Google Play で発見されたのは、100 種類以上の Android アプリに組み込まれたスパイウェアであり、その累積ダウンロード数は 4億2100万回にものぼると、アンチウイルス会社の Doctor Web が報告している。Doctor Web が SpinOk と命名した、この悪意のモジュールは、マーケティング SDK として配布されており、ファイルに関する情報収集／攻撃者へのファイル送信／クリップボードの内容の窃取などを、被害者のデバイス上で実行するという。

Tencent QQ ユーザーをハッキング：中国 APT の Evasive Panda が関与 – ESET

Tencent QQ users hacked in mysterious malware attack, says ESET

2023/04/26 BleepingComputer — Tencent QQ メッセージング・アプリの自動アップデートの一部として、マルウェア MsgBot を配布するという謎の攻撃に、Evasive Panda と呼ばれる中国の APT ハッキング・グループが関与していることが判明した。Evasive Panda とは、2012年頃から活動しているサイバースパイ・グループであり、これまでに中国本土／香港／マカオ／ナイジェリア／東南アジア／東アジアなどの国々で、さまざまな組織や個人を標的としてきた。

macOS／iOS で権限昇格の新たなバグ：Pegasus スパイウェアの二の舞はゴメンだ！

New Privilege Escalation Bug Class Found on macOS and iOS

2023/02/21 InfoSecurity — Trellix のサイバー・セキュリティ研究者たちが、macOS／iOS に存在する６つの脆弱性と、新しいバグクラスに関する調査結果を発表した。今日の未明に公開された同社のアドバイザリでは、新しいクラスの権限昇格の脆弱性は、NSO Group のモバイル・マルウェア Pegasus を展開するために macOS／iOS の機能を悪用した、ForcedEntry 攻撃に基づくものだと述べられている。

NATO の大規模サイバー演習：Cyber Coalition 22 の開催とウクライナへの意識

NATO Launches Massive Cyber-Defense Exercise

2022/12/02 InfoSecurity — 今週に NATO は、加盟国間のサイバー耐性強化を目的とする、Cyber Coalition 22 演習を開始した。この軍事同盟には、加盟国26カ国に加え、フィンランド／スウェーデン／ジョージア／アイルランド／スイス／日本／EU から 1000人の防衛担当者が集まり、産業界や学術界からも参加者が集まった。５日間にわたる演習は、電力網や NATO の資産に対するサイバー攻撃といった、現実的な課題を参加者に与え、ネットワークを守り、サイバースペースでの協力能力を強化することを目的にしているとのことだ。

Variston IT というスパイウェア：Chrome／Firefox／Defender の N-Day 脆弱性を悪用

Spyware Vendor Variston Exploited N-Days in Chrome, Firefox, Windows

2022/12/01 InfoSecurity — スペインのカスタム・セキュリティ・ソリューション・プロバイダーとされる Variston IT は、自社の Heliconia フレームワークで Chrome／Firefox／Microsoft Defender の N-Day 脆弱性を悪用し、ターゲット・デバイスにペイロードを展開するためのツールを配布している。これは、Google Threat Analysis Group (TAG) が、11月30日のアドバイザリで明らかにしたものであり、Google／Microsoft／Mozilla は 2021年と 2022年初旬に、この脆弱性を修正しているという。

OpenVPN／SoftVPN とトロイの木馬：Android ユーザーを狙う Bahamut というハッカー

Hackers modify popular OpenVPN Android app to include spyware

2022/11/24 BleepingComputer — 2017 年以降のサイバー・スパイ活動に関与する脅威アクターたちが、正規のソフトウェア SoftVPN や OpenVPN をトロイの木馬化し、Android 向けの偽 VPN ソフトウェアを作成し、被害者を誘い込んでいることが判明した。研究者たちによると、このキャンペーンは “高度な標的型“ であり、複数のアプリから連絡先／通話データ／デバイスの位置情報／メッセージなどの窃取を目的としているとのことだ。

中国のハッカー集団 Billbug：標的はアジア諸国における政府と防衛の機関

Chinese hackers target government agencies and defense orgs

2022/11/15 BleepingComputer — Billbug (a.k.a. Thrip／Lotus Blossom／Spring Dragon) として追跡されているサイバースパイ活動家が、アジア諸国の認証局／政府機関／防衛組織を標的としたキャンペーンを展開している。最新の攻撃は３月ころから観測されているが、この脅威アクターは、10年以上前からステルスで活動している、中国の国家支援グループだと思われる。Billbug の活動は、過去６年間 [1, 2, 3] にわたり、複数のサイバー・セキュリティ企業により記録されている。

SandStrike という Android 向けスパイウェア：悪意の VPN アプリ経由で端末に感染

Experts Warn of SandStrike Android Spyware Infecting Devices via Malicious VPN App

2022/11/02 TheHackerNews — これまで文書化されていなかった Android のスパイウェア・キャンペーンが、一見無害な VPN アプリを装って、ペルシャ語圏の人々を襲っていることが判明した。ロシアのサイバーセキュリティ企業である Kaspersky は、このキャンペーンを SandStrike という名前で追跡している。ただし、それは、特定の脅威グループに起因するものではない。

RatMilad という新種の Android スパイウェア：VPN などを装い企業ユーザーを狙う

Experts Warn of New RatMilad Android Spyware Targeting Enterprise Devices

2022/10/05 TheHackerNews — RatMilad と呼ばれる新種の Android マルウェアが、VPN／電話帳を装うアプリとして、中東のエンタープライズ・モバイル・デバイスを標的としていることが確認された。Zimperium が TheHackerNews と共有したレポートによると、このモバイル型トロイの木馬は、感染したモバイル・エンドポイントから各種データを収集／流出させるコマンドを、受信／実行する機能を持つ高度なスパイウェアとして機能するとのことだ。

Tor Browser のトロイの木馬版：中国で人気の YouTube チャネルからインストーラが配布される

2022/10/04 TheHackerNews — 中国語の人気 YouTube チャネルが、トロイの木馬化した Windows 版の Tor Browser インストーラを配布する手段として浮かび上がっている。Kaspersky は、このキャンペーンを OnionPoison と名付け、被害者の全てが中国のユーザーであることを公表した。現時点で、攻撃の規模は不明だが、2022年3月にはテレメトリーで被害者を検出したと、同社は述べている。

Microsoft Office／Adobe PDF ドキュメントの兵器化：Escanor RAT は機能満載

Escanor Malware delivered in Weaponized Microsoft Office Documents

2022/08/22 SecurityAffairs — ロサンゼルスを拠点にして Fortune 500 を保護する、グローバル・サイバー・セキュリティ企業である Resecurity は、新しいRAT (Remote Administration Tool) である Escanor が、ダークウェブや Telegram などで宣伝されていることを確認している。この攻撃者は、Android／PC ベースの RAT に加えて、HVNC (HiddenVNC)／Exploit Builder を提供し、Microsoft Office／Adobe PDF ドキュメントを兵器化することで、悪意のコードを配信している。

Google Chrome のゼロデイ脆弱性 CVE-2022-2294：Candiru スパイウェアが悪用

Chrome zero-day used to infect journalists with Candiru spyware

2022/07/21 BleepingComputer — イスラエルのスパイウェア・ベンダー Candiru が、Google Chrome のゼロデイ脆弱性を悪用していたことが判明した。彼らはスパイウェア DevilsTongue を用い、中東のジャーナリストや、彼らと利害関係のある人々に対してスパイ活動を行っていた。このヒープバッファ・オーバーフローの脆弱性 CVE-2022-2294 は、WebRTC に存在するものだ。悪用に成功した攻撃者が、ターゲット・デバイス上でコードを実行する可能性がある。Google は、2022年7月4日に、この脆弱性にゼロデイ・パッチを適用した際に、活発に悪用されていることを明らかにしていたが、それ以上の詳細は提供しなかった。