APT-C-60 targets Japan with phishing emails, using job application ruse and malware via Google Drive

APT36、インド政府機関が使うBOSS Linuxシステムを攻撃｜IconAdsがアプリを使い、大量のインタースティシャル広告をAndroid端末で表示｜DoNot APT、ヨーロッパ某国の外務省をLoptikModで攻撃

Orange, France’s largest telecom provider, reported a cyberattack on one of its internal systems, impacting its operations in EU and Africa.

Arctic Wolfの報告によると、中国の脅威アクターが、ヨーロッパの外交コミュニティを標的とした新たな攻撃で、未修正のWindowsショートカットの脆弱性を悪用しています。 悪用された脆弱性はCVE-2025-9491（CVSSスコア7.0）として追跡されており、UIの誤表示問題と説明されています。Windowsがファイルのプロパティを確認する際に、悪意のある活動の証拠となる重要な情報を表示しないことが原因です。 Arctic Wolfが確認した攻撃では、被害者が開くと悪意のあるコードを実行するよう設計されたLNKファイルが配布されています。CVE-2025-9491は、ファイルのプロパティを確認するユーザーから悪意のあるコードを見えなくするために悪用されています。 Trend MicroのZero Day Initiative（ZDI）は、2024年9月にこの問題をMicrosoftに報告しました。Microsoftはこのセキュリティ欠陥に対するパッチをリリースしておらず、ZDIに対し「サービスの基準を満たしていない」と通知しました。ZDIは開示ポリシーに従い、今年3月に脆弱性情報を公開しました。 ZDIは当時、北朝鮮、ロシア、中国、イランの11の国家支援APTグループが、防衛、エネルギー、金融、政府、軍事、通信、シンクタンク、民間組織を標的とした攻撃で、特別に細工されたLNKファイルを悪用していると警告していました。 Microsoftは3月にSecurityWeekに対し、ユーザーがファイルのプロパティを確認して悪意のあるコードを探すことは稀であり、Microsoft DefenderはLNKファイルでこの手法の使用を検出できると述べました。 また、同社はインターネットからダウンロードされたそのようなファイルを開こうとすると自動的にセキュリティ警告が表示されること、インターネット経由や信頼できない送信元から受け取ったファイルを開く際は注意すべきだと述べています。 現在、Arctic Wolfは、Mustang Panda APTに関連し、Basin、Bronze President、Earth Preta、Red Delta、Temp.Hex、Twill Typhoonとしても追跡されている中国の脅威アクターUNC6384が、2025年9月以降、CVE-2025-9491を悪用した攻撃を行っていると述べています。 このハッキンググループは、ヨーロッパの外交官を標的に、感染チェーンを開始する埋め込みURLを含むスピアフィッシングメールを送り、PlugXリモートアクセス型トロイの木馬（RAT）を配信しています。 感染チェーンのある段階では、「欧州委員会の会議、NATO関連のワークショップ、多国間外交調整イベントをテーマにした悪意のあるLNKファイル」がドロップされ、未修正の脆弱性が悪用されます。 このエクスプロイトにより、UNC6384はPowerShellコマンドの実行、署名済みのCanonプリンタユーティリティのドロップ、およびDLLサイドローディングによるPlugXの実行を行うことができます。 「Arctic Wolf Labsは、このキャンペーンがUNC6384によるものであると高い確信を持って評価しています。この帰属判断は、マルウェアツール、戦術的手法、標的の一致、過去に文書化されたUNC6384の活動とのインフラ重複など、複数の証拠に基づいています」とサイバーセキュリティ企業は述べています。 9月と10月には、Arctic WolfはUNC6384がハンガリーとベルギーの外交関係者を標的とした攻撃でこのバグを悪用しているのを観測しました。さらに、同社はこのキャンペーンがセルビア政府の航空部門やイタリア、オランダの外交機関を標的にしていることとも関連付けています。 翻訳元:

Chinese threat actor exploiting an unpatched Windows shortcut vulnerability in fresh attacks targeting the diplomatic community in Europe.

Russian threat actors have been abusing legitimate OAuth 2.0 authentication workflows to hijack Microsoft 365 accounts of employees of organizations related to Ukraine and human rights.

2025年7月、シンガポール政府は国家規模のサイバー攻撃を受けていることを公表しました。攻撃の背後にいるのは、中国政府と関係があるとされる高度持続的脅威（APT）グループ「UNC3886」です。国内重要インフラに対するこの攻撃は現在も進行中であり、国家安全保障にとって重大な脅威と位置づけられています。

中国系APTグループの間で、高度な協力関係を築く動きが見られます。本稿では、この動きを攻撃支援サービス「Premier Pass-as-a-Service」として位置づけ、Earth EstriesとEarth Nagaの事例をもとに分析します。

The hacker group behind the campaign used methods similar to those of the China-linked group Earth Baxia, known for targeting government agencies in the Asia-Pacific region.

読了時間：3分 出典：Wavebreakmedia Ltd（Alamyストックフォト経由） 研究者たちは、中国の高度な持続的脅威（APT）グループによる「警鐘」となるタイプの攻撃を発見しました。この攻撃は、地理空間マッピングアプリケーションを通じて、1年以上にわたり組織へのバックドアアクセスを確立していました。 サイバーセキュリティベンダーReliaquestのブログ投稿で、研究者たちは、Flax Typhoonとして追跡されている悪名高い脅威グループが、ソフトウェアメーカーEsriの広く知られた地理マッピングプラットフォームArcGISのコンポーネントを操作して「非常に巧妙な攻撃チェーン」を構築した方法を詳述しています。研究者たちは、Flax Typhoonの関係者が組織の公開ArcGISサーバーを侵害し、そのアクセスを利用して信頼されたアプリケーションをバックドアに変えていたことを発見しました。 「この攻撃は警鐘です。バックエンドアクセスを持つあらゆるエントリーポイントは、どれほど日常的・信頼されているものであっても、最優先事項として扱うべきです」とReliaquestのアナリスト、Alexa Feminella氏とJames Xiang氏はブログ投稿で述べています。 ArcGISをWebシェルに変える ReliaquestはArcGISの顧客の潜在的な侵害を調査し、ゼロデイ脆弱性や設定ミスが関与していないことを確認した後、Flax Typhoonの高度さと創造性を示す独自の攻撃を明らかにしました。 研究者たちは、脅威アクターがArcGISのJavaサーバーオブジェクト拡張（SOE）を改変することで、1年間にわたり組織へのアクセスを確立していたことを発見しました。SOEはユーザーが地図や画像のサービス操作を作成できるものですが、これをWebシェルに変えていました。Flax Typhoonは、ArcGISのポータル管理者アカウントを侵害することでこれを実現したと研究者たちは説明しています。 「攻撃者は、バックエンド計算用にプライベートな内部ArcGISサーバーに接続された公開ArcGISサーバー（一般的なデフォルト構成）を発見しました」とFeminella氏とXiang氏は記しています。 ArcGISのドキュメントによると、公開ポータルはプロキシとして機能し、Webアダプターを通じて内部サーバーにコマンドを転送します。攻撃者は偽装したコマンドをポータルサーバーに送信し、サーバー内に隠しシステムディレクトリを作成しました。これが実質的にFlax Typhoonのプライベート作業スペースとなり、ハードコードされたキーも備わっていたと研究者たちは述べています。 さらに、Flax Typhoonの攻撃チェーンは、悪意のあるSOEがシステムの完全なリカバリー後も残るようにしていました。「グループの永続化手法はさらに陰湿でした。侵害されたコンポーネントがシステムバックアップに含まれるようにすることで、組織自身のリカバリープランを再感染の確実な手段に変えたのです」とFeminella氏とXiang氏は記しています。 Flax Typhoonの脅威の緩和 Reliaquestは、顧客組織およびEsriと協力し、Flax Typhoonの関係者を環境から完全に排除しました。これにはサーバースタック全体の再構築や、脅威活動に対するカスタム検知の導入が含まれます。 ArcGISへの攻撃は、地理情報マッピングソフトウェアを標的とした他の注目すべき脅威活動に続くものです。先月、サイバーセキュリティ・インフラストラクチャ庁（CISA）は、連邦政府の大規模な無名の民間行政機関が、オープンソースの地理空間データサーバーGeoServerの脆弱性を通じて2024年に侵害されたことを明らかにしました。 EsriのスポークスパーソンはDark Readingに対し、同社は他の組織がこの種の攻撃の影響を受けたという証拠や報告を受けていないと述べています。 Reliaquestもまた、悪意のあるArcGIS SOEによって侵害された他の組織の証拠は見つかっていないと述べています。「ただし、レポートの主な警告は、コンポーネント自体はArcGIS特有であっても、手法自体はそうではないという点です」と同社のスポークスパーソンは述べています。「永続化の方法は独特ですが、セキュリティのベストプラクティスが想定されているだけで実際には徹底されていない、あらゆる公開アプリケーションで同様のことが起こり得ます。したがって、多くの組織が、正規コンポーネントの巧妙な改変を利用した同じ攻撃チェーンに脆弱である可能性が高いのです。」 Reliaquestは、すべての公開アプリケーションを高リスク資産として扱うよう組織に強く促しています。そのために、研究者たちは、どれほど日常的なものであっても、セキュリティチームがこうしたアプリケーションの監査と強化を行うことを推奨しています。Feminella氏とXiang氏はまた、Flax Typhoonがマルウェアや既知の悪意あるファイルを一切使用しなかったことを強調し、シグネチャベースの検知を補完するための行動分析の必要性を示しています。 研究者たちはまた、「弱い管理者パスワード」が攻撃者に組織ネットワークへの足がかりを与えたことに言及し、強力な認証情報の管理の重要性を強調しています。Reliaquestは、強力でユニークなパスワードの徹底に加え、多要素認証の導入と最小権限の原則の実践を推奨しています。 翻訳元:

Kasperskyは、APT攻撃キャンペーンでブラウザ「Chrome」のゼロデイ脆弱性が悪用されたことを明らかにした。メールのリンクをクリックするだけで、マルウェアに感染する「ドライブバイダウンロード攻撃（DBD攻撃）」が展開されていたという。 ：Security NEXT

The Chinese state-sponsored group Mustang Panda has used new and updated malicious tools in a recent attack.

A SentinelLABS investigation has revealed that businesses linked to the Chinese advanced persistent threat (APT) group Hafnium.

Microsoft says the Chinese threat actors Linen Typhoon, Violet Typhoon, and Storm-2603 have been exploiting the ToolShell zero-days.

This cybersecurity advisory details People’s Republic of China state-sponsored Advanced Persistent Threat actors targeting critical infrastructure across sectors and continents to maintain persistent,...

Kaspersky researchers discovered previously unidentified commercial Dante spyware developed by Memento Labs (formerly Hacking Team) and linked it to the ForumTroll APT attacks.

【ロンドン共同】英紙フィナンシャル・タイムズ電子版は12日、米国防総省ナンバー3のコルビー政策担当次官が日本とオーストラリアに対し、台湾有事で米中が軍事衝突した際の役割を明確化するよう求めたと報じた ...

Microsoft has confirmed that a pair of zero-day vulnerabilities in on-premises SharePoint Server, collectively dubbed ToolShell.

Fortra GoAnywhere CVE-2025-10035 was exploited a week before disclosure, enabling pre-authentication remote code execution.

Yimou Lee[台北 ６日 ロイター] - 台湾の国家安全局は５日、台湾政府機関に対する昨年のサイバー攻撃が１日平均２４０万回と、前年の平均１２０万回から倍増したとの報告書をまとめた。大半...

As cyber threats evolve, attacks increasingly target mobile devices as gateways to corporate cloud apps housing sensitive data.