概要
今週の脅威情報速報では、表面上は目立たないものの、将来の攻撃の形態を静かに形作る多くの小さな兆候が報告されています。開発者のワークフロー、リモートツール、クラウドアクセス、IDパス、さらには日常的なユーザー操作といった一般的な経路から始まる侵入が観測されています。攻撃者は、共有インフラ、反復可能なプレイブック、レンタルのアクセス、アフィリエイトスタイルのエコシステムを利用し、その活動を工業化しています。本速報では、技術が成熟し、露出が拡大し、ノイズの背後でどのようなパターンが形成されているかを示す、短く正確な更新情報を提供します。
サイバー犯罪の動向
スタートアップ企業を狙うスパイ活動
パキスタンを拠点とするAPT36(「Operation Nomad Leopard」)が、政府機関だけでなく、インドのスタートアップエコシステムを標的としています。彼らはISOファイルと悪意のあるLNKショートカットを使用し、機密性の高いスタートアップ関連の誘惑を用いて、Crimson RATを配布しています。これにより、包括的な監視、データ窃取、システム偵察が可能となります。
共有されるサイバー犯罪インフラ
「ShadowSyndicate」として知られる脅威活動クラスターは、数十台のサーバーを同じサイバー犯罪オペレーターに接続する2つの追加SSHマーカーに関連付けられています。これらのホストは、Cl0p、BlackCat、Ryuk、Malsmoke、Black Bastaなどの様々な脅威クラスターによる広範な悪意ある活動に利用されています。この脅威アクターは、以前使用したインフラを再利用し、SSHキーをローテーションさせる傾向があります。
ランサムウェアの既知の悪用脆弱性(KEV)リストの拡大
米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、2025年に59件の積極的に悪用されている脆弱性通知を更新し、それらがランサムウェアグループによって利用されていることを示しました。これにはMicrosoftの16件、Ivantiの6件などが含まれます。
スパイ活動とDDoS攻撃の逮捕
ポーランド当局は、同国防衛省の60歳の職員を外国情報機関のスパイ容疑で拘束しました。また、別の関連事案では、DDoS攻撃に関与した疑いで20歳の男が逮捕されています。
注目すべき技術的脅威
GitHub CodespacesのRCE脆弱性
GitHub Codespacesには、悪意のあるリポジトリやプルリクエストを開くだけでリモートコード実行(RCE)を許す複数の攻撃ベクトルが公開されました。これには、.vscode/settings.json、.devcontainer/devcontainer.json、.vscode/tasks.jsonを悪用したインジェクションが含まれます。Microsoftは、この動作を「設計通り」と見なしています。
Nordic地域の金融機関を狙うLazarus Group
北朝鮮と関連するLazarus Groupが、Nordic地域の金融セクターを標的とする「Contagious Interview」と呼ばれる長期にわたるキャンペーンを展開しています。このキャンペーンでは、BeaverTailと呼ばれる情報窃取ツールがドロップされ、暗号通貨関連のデータを検索する機能を持つことが報告されています。
ボランティアDDoS部隊:NoName057(16)とDDoSia Project
親ロシアのハクティビストグループ「NoName057(16)」が、「DDoSia Project」と呼ばれるボランティア分散型DDoSツールを使用して、ウクライナおよび西側の政治的利益に関連する政府、メディア、機関のウェブサイトを標的としています。このグループはTelegramチャンネルを通じて参加者を募集し、ゲーム化と暗号通貨報酬によって、技術的なスキルが低いユーザーでも攻撃に参加できるようにしています。
アフィリエイト型暗号通貨ドレイナー「Rublevka Team」
「Rublevka Team」と呼ばれる大規模なサイバー犯罪組織は、2023年の設立以来、アフィリエイト主導のウォレットドレインキャンペーンを通じて1,000万ドル以上を生成してきました。彼らは、偽装されたランディングページを通じてカスタムJavaScriptスクリプトを展開し、正規の暗号サービスを装って被害者にウォレットを接続させ、不正なトランザクションを承認させています。
TLS廃止の期限
Microsoftは、Azure Blob Storageに対してTLS 1.2への移行を促しており、2026年2月3日にはTLS 1.0および1.1のサポートを停止する予定です。
ボイスメールを装うソーシャルエンジニアリング
ドイツ語圏で新たなキャンペーンが確認されており、偽のボイスメールメッセージが、正当なリモートアクセスソフトウェアであるRemotely RMMの展開につながっています。これはソーシャルエンジニアリングに依存しており、ユーザーにインストールを承認させることで、永続的なリモートアクセスを可能にします。
グローバルプロキシボットネットSystemBC
SystemBC(別名CoroxyまたはDroxiDat)は、世界中で10,000を超える感染IPアドレスに関連付けられています。このマルウェアは、侵害されたシステムを介してトラフィックをプロキシし、内部ネットワークへの永続的なアクセスを維持するためによく使用され、ランサムウェア展開の先行指標となることが多いです。
スクリーンセーバーを介した初期アクセス
ビジネス関連の誘惑を使用する新しいスピアフィッシングキャンペーンが観察されており、ユーザーをWindowsスクリーンセーバー(.SCR)ファイルの実行に誘導し、SimpleHelpなどの正規RMMツールを密かにインストールさせています。.SCRファイルは、実行可能ファイルレベルの制御が常に適用されないため、信頼性の高い初期アクセスベクトルとなります。
ドライバー悪用のエスカレート:BYOVD攻撃
脅威アクターは、正規だが取り消されたGuidance Software(EnCase)のカーネルドライバーを悪用し、「Bring Your Own Vulnerable Driver(BYOVD)」攻撃の一環として特権を昇格させ、59種類のセキュリティツールを無効化しようとしています。この攻撃は、パッチ適用が優先されていない既存の脆弱性を悪用するものです。
Nitrogenランサムウェアの暗号化バグ
NitrogenランサムウェアのVMware ESXiバリアントにコーディングミスが発見され、ファイルを誤った公開鍵で暗号化してしまうため、ファイルを回復不能な状態にする可能性があります。これにより、身代金を支払っても復号化が不可能となります。
AIクラウド侵入のエスカレート
AIを活用したクラウド侵入により、Amazon Web Services(AWS)環境で初期アクセスから管理者権限の取得まで8分以内という速さで達成されました。この活動には、偵察の自動化、悪意のあるコードの生成、リアルタイムの意思決定に大規模言語モデル(LLM)が使用された兆候が見られます。
Dropboxフィッシングチェーン
調達や入札をテーマにしたフィッシングメールが、PDF添付ファイルを介して多段階の攻撃チェーンを開始し、ユーザーのDropbox認証情報を窃取してTelegramボットに送信するキャンペーンが確認されています。
Sandboxieの重大な脆弱性
Sandboxieに重大なセキュリティ脆弱性(CVE-2025-64721、CVSSスコア:9.9)が公開されました。この脆弱性が悪用されると、サンドボックス化されたプロセスがSYSTEMとして任意のコードを実行し、ホストを完全に侵害する可能性があります。この問題は、バージョン1.16.7で対処されています。
AsyncRATのインフラ露呈
攻撃対象管理プラットフォームCensysは、2026年1月現在、公開インターネット上に57のアクティブなAsyncRAT関連ホストを追跡しています。これらのホストは主に低コストで悪用を許容するホスティングサービスに集中しており、特徴的な自己署名TLS証明書を再利用しています。
Typhoonグループ間の戦術重複
中国のハッキンググループであるViolet TyphoonとVolt Typhoonの様々なキャンペーンの分析により、エッジデバイスのゼロデイ脆弱性の悪用、正規のネットワーク活動に紛れ込む「Living-off-the-Land (LotL)」技術、およびスパイ活動を隠蔽するためのオペレーショナルリレーボックス(ORB)ネットワークの使用といったいくつかの共通戦術が明らかになりました。
ClickFixの配布急増
脅威アクターは、侵害されたWordPressサイトにClickFixページを構築するために使用できる「IClickFix」というフレームワークを使用しています。このフレームワークは、2024年12月以来3,800以上のサイトで稼働しており、悪意のあるJavaScriptを挿入してClickFixの誘惑を表示し、NetSupport RATを配布しています。
結論
これらの更新情報を通じて共通して見られるのは、攻撃者の運用効率の向上です。アクセスから影響までの時間を短縮し、ツールの摩擦を排除し、自動化、既製のフレームワーク、再利用可能なインフラへの依存度を高めています。セキュリティギャップは、未知の脅威からではなく、レガシーな設定、信頼された統合、見過ごされた露出、ツールの動作に関する前提といった既知の行動から生じています。これらを総合すると、脅威環境は騒がしくなく、静かに、より広範な到達範囲、低い可視性、そしてより速い実行サイクルで拡大していることを示しています。
元記事: https://thehackernews.com/2026/02/threatsday-bulletin-codespaces-rce.html