Contents Introduction Key Targets Industries Affected Geographical focus Infection Chain. Initial Findings Looking into the decoy-document Technical Analysis Stage 1 – Malicious ISO File Stage 2 – Malicious LNK File Stage 3 – Final Payload: FALSECUB Infrastructure & Attribution Conclusion SEQRITE Protection. IOCs

Table of Contents: Introduction: Infection Chain: Targeted sectors: Initial Findings about Campaign: Analysis of Decoy: Technical Analysis: Stage-1: Analysis of Windows Shortcut file (.LNK). Stage-2: Analysis of Batch file. Stage-3: Details analysis of Covert RAT. Conclusion: Seqrite Coverage: IOCs MITRE ATT&CK

インドのサイバーセキュリティ企業Seqriteの研究者らによると、ハッカーがアフガニスタン政府職員を標的に、同国首相府からの公式連絡を装ったフィッシングメールを送っていることが判明した。 このキャンペーンは12月に初めて検知され、アフガニスタンの各省庁や行政機関に送付される正規の政府書簡に似せて作られたおとり文書を使用している。 文書は宗教的な挨拶で始まり、財務報告に関する公式指示と思われる内容に加え、首相府内の高官の偽造署名が含まれている。これは被害者を誘導してファイルを開かせるための手口だ。 いったん開かれると、この文書はFalseCubと呼ばれるマルウェアの亜種を送り込み、感染したコンピューターからデータを収集して外部へ送信するよう設計されていると、Seqriteは月曜日に公開した報告書で述べた。 研究者らは、攻撃者が悪性ペイロードの一時的なホスティングサービスとしてGitHubを利用していたことを突き止めた。12月下旬に作成されたGitHubアカウントが、作戦が終了するとファイルがひそかに削除されるまで、マルウェアの配布に使われていた。 このキャンペーンの背後にいるハッカーは、アフガニスタン政府機関やタリバンに関連する組織について広範な調査を行っていたようだ。Seqriteは、脅威アクターがScribdのライブラリにアップロードした複数の法務・行政文書を特定しており、その中にはアフガニスタン政府の通達、国防省の通信、アフガニスタンに関連する米国の庇護および人権文書が含まれていた。研究者らによれば、これらの資料は将来のフィッシング用のおとりとして利用される可能性がある。 疑われる脅威アクターは「Afghan Khan」という別名を使用しており、PinterestやDailymotionなど他のプラットフォームでも共有され、少なくとも1つのアカウントがパキスタンに関連付けられていた。研究者らによると、キャンペーンで使用された短縮リンクもパキスタンからアップロードされ、被害者をマルウェアをホストするGitHubリポジトリへリダイレクトしていた。 Seqriteはこのキャンペーンを特定の国や既知のハッカー集団に帰属させなかったものの、研究者らはこの活動を「地域に焦点を当てた、洗練度が低〜中程度の脅威アクター」によるものと評価した。さらに、オンライン上の人物像が繰り返し再利用されている点は、「成熟した国家支援型APTというより、個人のオペレーターまたは小規模な集団」を示唆すると付け加えた。 SeqriteがNomad Leopardという名称で追跡しているこのキャンペーンは、アフガニスタンに限定されず、他国へ拡大する可能性があると警告している。 研究者らは「脅威アクターはそれほど高度ではないが、複数の法務・政府関連のおとり文書を保有しており、将来のキャンペーンで使用される可能性があると考えている」と付け加えた。 翻訳元:

Seqrite Labsは、アルゼンチンの司法部門を標的とし、ステルス性の高いRustベースのリモートアクセス型トロイの木馬（RAT）を展開するために設計された多段階の感染チェーンを用いる高度なスピアフィッシング・キャンペーンを発見しました。 このキャンペーンは主に、アルゼンチンの司法機関、法曹関係者、司法に隣接する政府機関、ならびに法学系の学術組織を標的としています。 攻撃者は、正当なアルゼンチン連邦裁判所の判決、特に予防拘禁の審査文書を悪用して信頼性を確立し、マルウェアの配布成功を促進しています。 初期侵入ベクターでは、標的型のスピアフィッシングメールが利用され、3つの要素を含む武器化されたZIPアーカイブが添付されています。すなわち、悪意のあるLNKファイル（info/juicio-grunt-posting.pdf.lnk）、BATベースのローダースクリプト（info/health-check.bat）、そして本物らしく見える司法PDFのデコイ（info/notas.pdf）です。 Operation Covert Accessと名付けられたこの作戦は、実証しているとおり、高度なソーシャルエンジニアリング手法と強固なアンチ解析メカニズムを組み合わせ、南米全域の司法機関および法務組織内で永続的なアクセスを実現します。 感染チェーン（出典：Seqrite Labs）。 ユーザーがLNKファイルを操作すると、実行チェーンは被害者にデコイ文書を表示しながら静かに開始され、疑念を招くことなくステルスにペイロードを展開できるようになります。 デコイ文書の分析 デコイ文書は、形式的な法務スペイン語で書かれたアルゼンチン連邦裁判所の決議を装うもので、Poder Judicial de la Nación（国家司法権）から発出されたと称し、実在するTribunal Oral en lo Criminal y Correccional N° 2 de la Capital Federal（首都連邦の刑事・矯正口頭裁判所第2号）に言及しています。 この文書は、条件付き釈放条項を伴う予防拘禁の司法審査について論じており、事件番号、司法署名、ならびにアルゼンチン刑事訴訟法の特定条文を引用する手続き上の文言が含まれています。 文書の構成、用語、書式は真正の裁判所判決に非常によく似ており、法曹関係者の間で信頼性を大幅に高め、ユーザーが操作してしまう可能性を著しく増大させます。 ステージ1では、LNKファイルが、実行ポリシーのバイパスと非表示ウィンドウモードで、システムディレクトリからPowerShellを実行します。このショートカットにはPDFアイコンが設定されており、悪意のあるショートカットを正当な文書に見せかけています。 ステージ2では、BATローダーがGitHubでホストされたリポジトリへの接続を確立し、第2段階のペイロードを取得します。 PowerShellコマンドは偽装したUser-Agent文字列を使用し、ダウンロードした実行ファイル（health-check.exe）を、正当なものに見せかけるためMicrosoft Edgeのユーザーデータディレクトリ内にmsedge_proxy.exeとして保存します。 ステージ3では、主要なRATコンポーネントであるmsedge_proxy.exeが展開され、VM検知（VMware、VirtualBox、Hyper-V、QEMU、Xen、Parallels）、サンドボックス環境検知、ならびにPEBチェックとタイミングベース解析によるデバッガ識別など、広範なアンチ解析チェックを実行します。 アンチデバッグ：PEBチェック（出典：Seqrite Labs）。 このRATは、ホスト名、ユーザー名、OS名、権限レベルなどのシステム情報を収集し、その後IPv4とIPv6の両方をサポートするフォールバック機構を用いてC2通信を確立します。デフォルトは181.231.253.69:4444です。 コマンド＆コントロール機能 このマルウェアは、永続化のインストール用のPERSIST、ファイル操作用のDOWNLOADおよびUPLOAD、認証情報窃取用のHARVEST、ランサムウェア機能用のENCRYPTおよびDECRYPT、権限昇格用のELEVATEなど、包括的なコマンドセットを備えていることを示します。 すべてのコマンドはBase64でエンコードされて到着し、RATはDLLベースのランサムウェア、スティーラーモジュール、永続化のライフサイクル管理一式など、モジュール式の侵害後機能をサポートします。 このRATは、ランダム化された正当らしい値名（SecurityHealthSystray、MicrosoftEdgeAutoLaunch、Teams Machine Installer）を用いたレジストリのRunキー、および昇格権限でのschtasksによるスケジュールタスクを通じて、複数の永続化手法を実装しています。 専用のPERSIST_REMOVEコマンドにより、オペレーターの指示に応じてすべてのレジストリエントリとスケジュールタスクを削除する、完全なクリーンアップ機能が可能になります。 Operation Covert Accessは、高信頼の組織環境を標的としたソーシャルエンジニアリングによる侵入チェーンが、依然として有効であることを示しています。 組織は、偽装された法的文書に対するメールフィルタリングの強化、メール由来のLNKファイル実行の無効化、PowerShell実行ポリシーの強制、ならびに不審なプロセスチェーンとC2通信パターンを識別できるEDR（エンドポイント検知・対応）ソリューションの導入を実施すべきです。 IOCs ハッシュ 名称 / ファイルパス C2サーバー dc802b8c117a48520a01c98c6c9587b5 info/juicio-grunt-posting.pdf.lnk 45f2a677b3bf994a8f771e611bb29f4f D:\auto_black_abuse\resources\unzipped\20251215_140518_2025-11-28\13adde53bd767d17108786bcc1bc0707c2411a40f11d67dfa9ba1a2c62cc5cf3.zip 02f85c386f67fac09629ebe5684f7fa0 info/health-check.bat 976b6fce10456f0be6409ff724d7933b \msedge_proxy.exe 233a9dbcfe4ae348c0c7f4c2defd1ea5 info/notas.pdf — — 181.231.253.69:4444 翻訳元:

## Terrabyte Group, a key subsidiary of Terra International, today announced a strategic partnership with Seqrite, the enterprise security arm of Quick Heal Technologies Limited, a global cybersecurity solutions provider. The partnership was formalized through a Regional Distributor Memorandum of Understanding (MOU) signed during AISS 2025 in New Delhi, marking a significant milestone in Seqrite’s expansion strategy for Southeast Asia. The agreement affirms Terrabyte Group’s role as Seqrite’s distributor across Southeast Asia, recognizing Terrabyte’s strong market presence, regional expertise, and proven capability in delivering enterprise-grade cybersecurity solutions across diverse markets. The collaboration strengthens Terrabyte’s cybersecurity portfolio across Southeast Asia by bringing Seqrite’s full-stack enterprise cybersecurity ecosystem to the region, enabling organisations to secure endpoints, networks, cloud environments, data, users, and applications through an integrated, AI-driven approach. As the digital economy of ASEAN member countries continue to grow, organisations across the region are facing increasingly sophisticated cyber threats that move faster than traditional siloed tools and fragmented security visibility can address. The global surge in ransomware and Trojan attacks, with human error remaining a key contributor, highlights the urgent need for cybersecurity solutions that are adaptive, scalable, and built for complex enterprise environments. As a global full-stack cybersecurity company known for its AI and machine learning-powered threat defence technologies, Seqrite addresses this challenge head on. Seqrite’s comprehensive suite of cybersecurity solutions is designed to protect every layer of an organisation, from endpoints and mobile devices to applications, networks, cloud environments, data, and identity. Its AI-powered portfolio spans Endpoint Protection, Endpoint Detection and Response (Seqrite EDR), Extended Detection and Response (Seqrite XDR), Zero Trust Network Access (Seqrite ZTNA) for secure and context-aware application access, Data Privacy (Seqrite Data Privacy) for sensitive data discovery and governance, Mobile Device Management (Seqrite MDM) and Seqrite BYOD management for unified device control, Managed Detection and Response (Seqrite MDR) for expert-led threat monitoring, along with a Malware Analysis Platform and real-time Threat Intelligence that together enable continuous visibility, faster detection, and coordinated response across the enterprise security landscape. Together, these capabilities provide continuous threat monitoring, cross-layer visibility, secure access control, data governance, and rapid incident response, delivering a unified defence aligned with modern enterprise cybersecurity needs. Through this partnership, Terrabyte Group will distribute Seqrite’s solutions across Singapore, Indonesia, Thailand, the Philippines, Vietnam, and Malaysia, enabling organisations to adopt a scalable, integrated, and highly resilient cybersecurity framework aligned with Cybersecurity Mesh Architecture principles. The portfolio spans core endpoint defence to advanced access and data control, addressing both threat prevention and regulatory compliance requirements. **A partnership that strengthens regional cyber defences** Roy Toh, CEO of Terra International, shared, “The formalization of our partnership with Seqrite at AISS 2025 reflects a shared commitment to building meaningful, long-term cybersecurity capabilities in Southeast Asia. Partnering with Seqrite enables us to deliver unified, AI-driven cybersecurity solutions, particularly EDR, XDR, and MDM, that improve visibility, simplify threat response, and strengthen overall resilience. Together with Seqrite, we are well-positioned to support enterprises across the region with practical and effective cyber defense.” Dr Sanjay Katkar, Joint Managing Director, Quick Heal Technologies Limited, said, “At Seqrite, our focus has always been on simplifying cybersecurity for enterprises without compromising on depth or effectiveness. With this strategic partnership with Terrabyte, we are extending the reach of our full stack AI-powered cybersecurity solutions across Southeast Asia. From endpoint and network defence to zero trust access and data privacy governance, our portfolio addresses the full spectrum of modern cyber risks, helping organisations build a unified and resilient security posture.” **Driving regional cybersecurity excellence** The Terrabyte and Seqrite partnership brings enterprises a unified advantage through advanced threat detection, faster response, secure zero-trust access, and strong data privacy governance, delivered through centralised security management. By making Seqrite’s full-stack cybersecurity ecosystem available through Terrabyte’s regional presence, the collaboration reinforces Terrabyte’s commitment to delivering scalable, adaptive, and future-ready cybersecurity solutions aligned with the evolving needs of enterprises across Southeast Asia. #### Disclaimer: The views expressed in this article are those of the author/authors and do not necessarily reflect the views of ET Edge Insights, its management, or its members

SEQRITE Labsの高度持続的脅威（APT）チームは、正規のアンチウイルスソフトを装った武器化されたMicrosoft WordおよびPDF文書を通じてイスラエルの組織を標的にする高度なキャンペーンを発見しました。 UNG0801、または「Operation IconCat」として追跡されているこの作戦は、セキュリティベンダーであるSentinelOneおよびCheck Pointの信頼されたブランドを悪用し、被害者を欺いて悪意あるペイロードを展開させます。 西アジアに起源があるとみられるこの脅威クラスターは、2025年11月中旬以降活動しており、イスラエルの情報技術、人事、ソフトウェア開発分野にわたる企業環境に焦点を当てています。 これらのキャンペーンは、コンプライアンス更新、セキュリティ勧告、ウェビナー告知など、日常的な社内連絡を模倣したヘブライ語のフィッシング誘導文を利用し、正当性を確立して被害者の反応率を高めています。 PYTRICおよびRUSTRICインプラント Operation IconCatは2つの異なる感染チェーンで構成されており、いずれもアンチウイルスのアイコン偽装を中心としたおなじみの運用手口を共有しています。 感染チェーン – Operation IconCat. 2025年11月16日に開始された最初のキャンペーンでは、「help.pdf」という悪意あるPDFが配布され、受信者に対してパスワード「cloudstar」を使用してDropboxから「Security Scanner」をダウンロードするよう指示します。 この文書には本物のCheck Pointのブランド表示と詳細な使用手順が含まれており、正規のセキュリティソフトであるかのような外観を強化しています。 このチェーンを通じて配信されるペイロードはPYTRICで、PyInstallerでパッケージ化されたPython実行ファイルであり、セキュリティツールを装います。 技術分析により、PYTRICは破壊的なワイパーとして機能し、システム全体のデータ削除、バックアップの削除を実行でき、さらに「Backup2040」という名前のTelegramボットを介してコマンド＆コントロール（C2）基盤と通信できることが明らかになっています。 PyInstallerインプラント。 このインプラントは管理者レベルのコマンドを実行し、標的システムを不可逆的に侵害することから、諜報目的ではなく破壊目的であることが示唆されます。 2025年11月17日に検知された2つ目のキャンペーンでは、正規のイスラエルの人材会社であるL.M. Groupになりすましたスピアフィッシングメールが用いられます。 これらのメールには、悪意あるWord文書およびZIPファイルが添付されており、マクロ有効の添付ファイルを含んでRUSTRIC（Rustベースの偵察インプラント）をドロップします。 悪意あるWord文書。 PYTRICとは異なり、RUSTRICは情報収集に重点を置き、侵害されたシステムにインストールされているQuick Heal、CrowdStrike、Microsoft Defender、Kaspersky、Nortonを含む28種類のアンチウイルス製品を列挙するとともに、 whoami.exe、 hostname.exe、 nslookup.exeなどのシステム偵察コマンドを実行します。 インフラと帰属 インフラ分析により、対照的なコマンド＆コントロール手法が明らかになっています。最初のキャンペーンは通信を完全にTelegramに依存しています。 このマクロはroot\cimv2名前空間を介してWin32_Processクラスへのハンドルを取得し、Createメソッドを呼び出して新しいプロセスを生成します。 悪意あるRustインプラント。 これに対し2つ目は、以前のドメインnetvigil.orgの設定痕跡を示す専用のC2サーバーを利用しています。 TLS証明書やCNAMEレコードが保持されたままなど、この不完全なサーバー再設定は、脅威アクターが転用された、または低コストの仮想プライベートサーバーを使用していることを示唆しており、これはリソース制約のある作戦に見られる特徴です。 SEQRITE Labsは、運用時期の一致、地理的な標的設定、そして一貫したアンチウイルスブランドの悪用に基づき、両キャンペーンをUNG0801クラスターとして分類しています。 しかし、PYTRICの破壊能力とRUSTRICの諜報機能という目的の相違は、帰属の取り組みに複雑さをもたらします。 行動パターンは単一の運用者または共通の手口を示唆する一方で、戦術上の違いは、複数の脅威グループ間の協力、または単一組織内での運用優先度の変化の可能性を示しています。 イスラエルの技術およびサービス分野の組織は、メールフィルタリングの強化、マクロ実行のデフォルト無効化、疑わしいPowerShell活動およびTelegramや未検証のC2ドメインへの外部通信の監視を実施すべきです。 翻訳元:

SEQRITE LabsのAPTチームの研究者は、偽のアンチウイルスをテーマにしたフィッシング誘導を用いてイスラエルの組織を標的とする、Operation IconCatと呼ばれるキャンペーンに関連する、新たな脅威クラスター「UNG0801」を発見しました。 攻撃は西アジアに起源があるとみられ、標的は企業環境で、特にITサービスプロバイダー、人材派遣会社、ソフトウェア企業が狙われています。 UNG0801のフィッシングメールは、コンプライアンス通知、サイバーセキュリティのブリーフィング、企業ウェビナーへの招待などの社内連絡を模倣するため、ヘブライ語で巧妙に作り込まれています。 キャンペーン全体に共通する主要な戦術は、Check PointおよびSentinelOneを中心とした著名なアンチウイルスのインターフェースを偽装し、被害者に悪意ある添付ファイルを操作させることです。 2025年11月中旬に始まった2つの異なる感染チェーンが観測され、いずれもAVアイコンの悪用という共通テーマからOperation IconCatとして分類されました。これらのキャンペーンは、PDFまたはWordの添付ファイルを用いて、PYTRICおよびRUSTRICと名付けられた第2段階のインプラントを展開します。 最初のキャンペーンは、help.pdfという悪意あるPDFを用いてCheck Pointになりすまします。このファイルはユーザーマニュアルを装い、従業員にDropboxから偽の「Security Scanner」ツールをダウンロードするよう促します。なお、パスワードは「cloudstar」で保護されています。 実行されると、このツールはPythonで書かれ、PyInstallerでパッケージ化されたPYTRICインプラントを展開します。 分析の結果、PYTRICはローカルファイルのスキャン、管理者権限の確認、システムデータとバックアップを消去するコマンドの実行など、破壊的な動作を行うことが示されています。 また、Backup2040というTelegramボットを介して攻撃者と通信しており、諜報活動というよりワイパーに近い挙動を示唆しています。 2つ目のキャンペーンはSentinelOneのロゴを偽装し、VBAマクロを含む悪意あるWord文書を通じて、RustベースのインプラントRUSTRICを配布します。 ドロップされるバイナリはセキュリティツールを装い、ESET、CrowdStrike、Sophos、Microsoft Defenderを含む、28種類のアンチウイルスおよびEDR製品を列挙する機能を備えています。 インフラの痕跡からは、netvigil.orgの証明書の再利用が明らかになり、攻撃者が低コストのVPSサーバーを転用したことが示唆されます。 これらのキャンペーンでは、T1566.001（スピアフィッシング：添付ファイル）、T1059.006（Pythonコマンドインタープリタ）、T1036.005（なりすまし）など、複数のMITRE ATT&CK手法が用いられています。 SEQRITEは、PYTRICはワイパーとして動作する一方、RUSTRICは諜報活動に注力しているものの、両者は同一の運用者のプレイブックを共有していると結論づけています。 帰属は決定的ではないものの、これらのキャンペーンは、標的型フィッシング作戦の成功率を高めるために、信頼されるサイバーセキュリティのブランドを悪用する脅威アクターが増加している傾向を浮き彫りにしています。 翻訳元:

Introduction Over the past few months, tax-themed phishing and malware campaigns have surged, particularly during and after the Income Tax Return (ITR) filing season. With ongoing public discussions around refund timelines, these scams appear more credible, giving attackers the perfect context to craft convincing

Learn how India’s DPDPA and DPDP Rules hold data fiduciaries accountable for algorithmic models processing personal data — compliance steps, DPIAs, audits & governance.

Table of Contents: Introduction: Targeted sectors: Initial Findings about Campaign: Analysis of Phishing Mail: Infection Chain: Technical Analysis: Stage-1: Analysis of Malicious ISO file. Stage-2: An...

デジタル脅威の動向を監視する中で、Seqrite Labsの研究者は、Operation MoneyMount-ISOと名付けられた新たな標的型キャンペーンを発見しました。この攻撃は、支払い確認を装ったISOイメージを介してPhantom Stealerマルウェアを展開する多段階の配信チェーンにより、機密情報を流出させるよう設計されています。 このキャンペーンは、完了した銀行振込の詳細が含まれていると称する大量メール配信から始まります。メッセージはフォーマルでビジネスライクな文面で書かれており、「Bank Transfer Confirmation（銀行振込確認）」とラベル付けされたZIPアーカイブが添付されています。アーカイブの中にはISOファイルがあり、仮想ディスクとしてマウントすると実行ファイルが表示されます。このファイルを起動すると感染が引き起こされます。 主な標的は、財務・経理・支払いチームの従業員に加え、法務、人事、調達部門のスタッフです。メールは個別化されておらず、このキャンペーンが広範で無差別な性質を持つことを示しています。フォーマルな言葉遣いにより、特に支払い関連の書類を扱い慣れている受信者にとって、メッセージに正当性があるかのような印象を与えます。 技術分析により、ISOファイルには、暗号化された悪性コードを埋め込んだ追加ライブラリのダウンロードを開始する実行コンポーネントが含まれていることが明らかになりました。復号後、このコードは中核ペイロードであるPhantom Stealerを展開します。このマルウェアには強力な解析回避機能が組み込まれており、仮想マシン、デバッガ、解析ツールの有無を環境チェックし、調査の兆候が検知されると実行を終了して自己削除します。 Phantom Stealerは非常に幅広いデータを収集します。ブラウザベースの暗号資産ウォレット拡張機能やデスクトップウォレットアプリケーションから情報を抽出し、保存されたパスワード、Cookie、決済カード情報を窃取し、Discordトークンを取得し、クリップボードを監視し、キーストロークを記録します。収集されたデータは整理・保存され、アーカイブに圧縮されるとともに、IPアドレス、ユーザー名、アンチウイルス保護の状態などのシステムメタデータが付加されます。 攻撃者への流出は、Telegramボット、DiscordのWebhook、FTPサーバーという3つの異なるチャネルを通じて行われます。通信は非同期方式とハードコードされた接続パラメータに依存しており、盗まれた情報を外部エンドポイントへ確実に送達できるようにしています。 Operation MoneyMount-ISOは、現代のマルウェアが高度化していること、そして従来の防御を回避するための意図的な取り組みを浮き彫りにしています。初期感染ベクターとしてISOファイルを利用することで、攻撃者は多くのメールセキュリティフィルタを回避できます。このキャンペーンが金融および支払いインフラに焦点を当てていることを踏まえ、組織はこの種の添付ファイルをブロックする制御を実装し、メモリ上のプロセス挙動を監視し、メールセキュリティを強化してリスクを軽減する必要があります。 翻訳元:

多段階の添付ファイル連鎖を通じてPhantom情報窃取マルウェアを配布する新たなフィッシングキャンペーンが、サイバーセキュリティ研究者によって特定されました。 Seqrite Labsが観測したこの活動は、ロシアに起源があると報告されており、偽の支払い確認メールを用いて受信者を誘導し、悪意のあるアーカイブを開かせる手口に依存しています。 このキャンペーンはOperation MoneyMount-ISOとして追跡されており、メールセキュリティの制御を回避することを目的とした、ISOベースの初期アクセス手法への継続的な移行を示しています。 直接の実行ファイルではなく、攻撃者はISOファイルを含むZIPアーカイブを使用し、開くと仮想ドライブとしてマウントされます。内部には偽装された実行ファイルがあり、最終的にPhantom Stealerをメモリ上に展開します。 Seqrite Labsの研究者は、この作戦がロシア語話者の組織を積極的に標的にしていることを確認しており、日常的に財務書類を扱う役割に明確に焦点を当てています。誘い文句は、忙しい財務環境でのやり取りの可能性を高めるため、日常的な業務連絡を模倣しています。 攻撃の仕組み 観測されたフィッシングメールは、正式なロシア語のビジネス文体で書かれており、件名は「Подтверждение банковского перевода」 （「銀行振込の確認」）でした。 受信者に対し、取引の詳細を確認するために添付文書を確認するよう促していました。メッセージ内では通貨ブローカーに言及していたものの、送信元ドメインは無関係でした。 約1MBのZIPアーカイブを開くと、埋め込まれたISOファイルが自動的にマウントされ、支払い確認を装った実行ファイルが表示されました。 このファイルを実行すると、段階的なペイロード連鎖が起動しました。初期ローダーが悪意のあるDLLを復号し、その後、サンドボックスや仮想マシンを回避するための広範な解析回避チェックを用いながら、Phantom Stealerをシステムにインジェクトしました。 フィッシングキャンペーンに関する詳細: ブラウザフィッシング攻撃75万2,000件、前年比140%増 最終ペイロードは、幅広い機密情報を収集できました。ブラウザに保存されたパスワード、Cookie、クレジットカードデータを抽出し、ブラウザおよびデスクトップアプリケーションから暗号資産ウォレットを窃取し、キーストロークとクリップボード内容を記録し、Discordの認証トークンを収集しました。 窃取データはアーカイブにまとめられ、Telegramボット、DiscordのWebhook、FTPサーバーなど複数のチャネルを通じて持ち出されました。 ロシアの財務、会計、資金管理、決済チーム 調達、法務、HRまたは給与関連業務 役員秘書、およびロシア語のワークフローを使用する中小企業 「この作戦は、コモディティ型スティーラーの高度化と、境界防御の制御を回避するためのISOベース初期アクセスへの戦略的転換を反映している」 と、Seqrite Labsは説明しました。 「コンテナ化された添付ファイルの継続的なフィルタリング、メモリ挙動の監視、財務関連のメールワークフローの強化は、依然として不可欠な緩和策である。」 翻訳元:

サイバーセキュリティ研究者は、悪意のあるISO光ディスクイメージを介してPhantom Stealerを配布するフィッシングメールにより、ロシアの幅広い業種を標的とする進行中のフィッシングキャンペーンの詳細を明らかにしました。 Seqrite Labsが「Operation MoneyMount-ISO」とコードネームを付けたこの活動は、主に財務・会計関連組織を狙っており、調達、法務、給与（ペイロール）の各部門が二次的な標的として浮上しています。 「このキャンペーンは、偽の支払い確認をおとりにして、多段階の添付ファイルチェーンを通じてPhantom情報窃取マルウェアを配布します」と、同サイバーセキュリティ企業は述べています。 感染チェーンは、正規の金融連絡を装い、最近の銀行振込の確認を受信者に促すフィッシングメールから始まります。メールには追加情報が含まれていると称するZIPアーカイブが添付されていますが、実際にはISOファイルが含まれており、起動するとシステム上で仮想CDドライブとしてマウントされます。 ISOイメージ（「Подтверждение банковского перевода.iso」または「Bank transfer confirmation.iso」）は、埋め込まれたDLL（「CreativeAI.dll」）を介してPhantom Stealerを起動するよう設計された実行可能ファイルとして機能します。 Phantom Stealerは、Chromium系ブラウザにインストールされた暗号資産ウォレットのブラウザ拡張機能やデスクトップウォレットアプリからデータを抽出できるほか、ファイル、Discordの認証トークン、ブラウザ関連のパスワード、Cookie、クレジットカード情報も窃取できます。 また、クリップボード内容の監視、キーストロークの記録を行い、仮想化環境、サンドボックス、解析環境を検出するための一連のチェックを実行し、該当する場合は実行を中止します。データの持ち出しはTelegramボット、または攻撃者が管理するDiscordのWebhookを介して行われます。さらに、このスティーラーはFTPサーバーへのファイル転送も可能にします。 ここ数か月、ロシアの組織（主に人事および給与部門）も、賞与や社内の財務方針に関連するおとりを用いたフィッシングメールの標的となっており、これにより、これまで文書化されていなかったDUPERUNNERというインプラントが展開され、オープンソースのコマンド＆コントロール（C2）フレームワークであるAdaptixC2が読み込まれます。 このキャンペーンはDupeHikeと名付けられ、UNG0902という脅威クラスターによるものとされています。 「ZIPは、PDFおよびLNK拡張子のデコイを含むスピアフィッシング型感染の予備段階として使用されており、インプラントDUPERUNNERをダウンロードし、最終的にAdaptix C2 Beaconを実行します」とSeqriteは述べています。 LNKファイル（「Документ_1_О_размере_годовой_премии.pdf.lnk」または「Document_1_On_the_amount_of_the_annual_bonus.pdf.lnk」）は、次に「powershell.exe」を使用して外部サーバーからDUPERUNNERをダウンロードします。このインプラントの主な役割は、デコイPDFを取得して表示し、「explorer.exe」「notepad.exe」「msedge.exe」などの正規のWindowsプロセスに注入することでAdaptixC2を起動することです。 他のフィッシングキャンペーンでは、ロシアの金融、法務、航空宇宙分野を狙い、Cobalt Strikeや、データ窃取およびハンズオンキーボード操作が可能なFormbook、DarkWatchman、PhantomRemoteといった悪意のあるツールが配布されています。侵害されたロシア企業のメールサーバーが、スピアフィッシングメッセージの送信に利用されています。 フランスのサイバーセキュリティ企業Intrinsecは、ロシアの航空宇宙産業を標的とする侵入セットを、ウクライナの利害に沿うハクティビストによるものと帰属させました。2025年6月から9月に検出されたこの活動は、Hive0117、Operation CargoTalon、およびRainbow Hyena（別名：Fairy Trickster、Head Mare、PhantomCore）と重なる点があります。 これらの取り組みの一部では、InterPlanetary File System（IPFS）およびVercel上にホストされたフィッシング用ログインページへユーザーをリダイレクトすることも確認されており、Microsoft Outlookおよびロシアの航空宇宙企業であるBureau 1440に関連する認証情報を窃取するよう設計されています。 「2025年6月から9月に観測されたキャンペーンは[...]、ウクライナとの現在の紛争のさなかにロシア軍と積極的に協力している組織の侵害を目的としており、主にそれらに課された西側の制裁によって評価されています」とIntrinsecは述べています。 翻訳元:

A new sophisticated phishing campaign has emerged, putting finance professionals and digital asset holders at significant risk. Researchers at Seqrite Labs have uncovered a multi-stage attack that uses compressed ZIP files converted into ISO images and ultimately EXE executables to deliver the notorious Phantom stealer malware. This malware is designed to quietly exfiltrate sensitive information, including browser credentials, cryptocurrency wallets, and messaging platform tokens.

A critical CVSS 10 flaw, CVE-2025-55182, exposes React Server Components and Next.js apps to unauthenticated remote code execution. Learn impact and mitigation.

Over the past few months, job economy has been marked by uncertainty, with constant news about layoffs, restructuring, hiring freezes, and aggressive cost-cutting measures. This atmosphere has created widespread anxiety among both employees and organizations, and cybercriminals have quickly learned to exploit these

Introduction A new wave of cyberattacks is sweeping through Russian enterprises, and it carries a chilling name. Operation FrostBeacon, uncovered by Seqrite Labs, is a calculated and financially driven campaign designed to infiltrate corporate networks from the inside. It strikes where companies are most vulnerable, planting itself inside finance and legal departments that manage the heartbeat of every business. What begins as a harmless document or a trick email quickly snowballs into a full-scale compromise powered by Cobalt Strike, one of the most notorious tools in the cybercriminal world.

Discover how India’s Digital Personal Data Protection Act (DPDPA, 2023) transforms data-breach consequences — with potential fines up to ₹250 crore, strict obligations on security safeguards, breach r...

Operation FrostBeacon: Multi-Cluster Cobalt Strike Campaign Targets Russia Contents Introduction Key Targets Geographical Focus Industries Affected LNK Cluster Initial Access: Archive Delivery Phishing Email and Decoys Malicious LNK and HTA Loader Obfuscated PowerShell Payload CVE Cluster Phishing Emails Chaining