日本経済新聞社は、社内で利用しているチャットツール「Slack」に外部からの不正ログインがあったと発表した。

Check Point Research has uncovered a sophisticated operation dubbed the "YouTube Ghost Network," which leverages hijacked YouTube channels and bots to distribute the Lumma and Rhadamanthys Infostealer malwares. This campaign has utilized over 3,000 fake videos to propagate these malicious payloads, targeting unsuspecting users to steal their credentials and sensitive information. The operation's methodology involves compromising legitimate YouTube channels and using automated bots to generate and distribute malicious videos at an unprecedented scale. This approach not only amplifies the reach of the malware but also exploits the trust users place in established platforms like YouTube. The Lumma and Rhadamanthys Infostealers are particularly dangerous due to their ability to exfiltrate a wide range of sensitive data, including login credentials, financial information, and personal details. The impact of this operation on the cybersecurity landscape is significant. It demonstrates the increasing sophistication of cybercriminals in leveraging popular platforms and automation to scale their attacks. For cybersecurity professionals, this underscores the need for enhanced monitoring and detection capabilities to identify and mitigate such threats. Users must be educated about the risks associated with interacting with content on trusted platforms, as even these can be compromised. Expert insights suggest that cybersecurity teams should implement advanced threat detection systems capable of identifying and blocking malicious videos and links. Additionally, user awareness programs should be updated to include information about sophisticated scams like the YouTube Ghost Network. Platform security measures must also be strengthened to prevent the hijacking of legitimate accounts and the distribution of malicious content. In conclusion, the YouTube Ghost Network operation highlights the evolving tactics of cybercriminals and the importance of proactive cybersecurity measures. By staying vigilant and informed, both users and cybersecurity professionals can better protect themselves against such sophisticated threats.

Check Point Research exposed a sophisticated, role-based operation called the YouTube Ghost Network, distributing dangerous Lumma and Rhadamanthys Infostealer malware. Learn how cybercriminals use hijacked channels and bots to triple malicious video output and steal user credentials.

Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread

YouTube video by 情報の灯台【パソコン】ソース有り

UNC5142というコードネームの金銭目的の脅威アクターが、Atomic（AMOS）、Lumma、Rhadamanthys（別名RADTHIEF）、Vidarなどの情報窃取型マルウェアの配布手段として、ブロックチェーンのスマートコントラクトを悪用していることが確認されています。これらはWindowsおよびApple macOSシステムの両方を標的としています。 「UNC5142は、侵害されたWordPressサイトと『EtherHiding』の使用が特徴です。EtherHidingとは、悪意のあるコードやデータをBNBスマートチェーンなどのパブリックブロックチェーン上に配置して隠蔽する手法です」とGoogle脅威インテリジェンスグループ（GTIG）はレポートでThe Hacker Newsに伝えています。 2025年6月時点で、GoogleはUNC5142に関連する動作を示すJavaScriptが注入された約14,000のウェブページを検出したと述べており、脆弱なWordPressサイトが無差別に標的にされていることを示しています。しかし、同社は2025年7月23日以降、UNC5142の活動を確認しておらず、活動の一時停止または作戦転換の可能性を指摘しています。 EtherHidingは、2023年10月にGuardio Labsによって初めて報告されました。このときは、感染したサイトが偽のブラウザアップデート警告を表示し、Binanceのスマートチェーン（BSC）コントラクトを利用して悪意のあるコードを配信する攻撃が詳細に説明されました。 攻撃チェーンの根幹をなす重要な要素は、CLEARSHORTと呼ばれる多段階のJavaScriptダウンローダーであり、侵害されたサイトを通じてマルウェアを配布可能にします。第一段階は、ウェブサイトに挿入されるJavaScriptマルウェアで、BNBスマートチェーン（BSC）ブロックチェーン上に保存された悪意のあるスマートコントラクトとやり取りして第二段階を取得します。第一段階のマルウェアは、プラグイン関連ファイルやテーマファイル、場合によってはWordPressデータベースに直接追加されます。 スマートコントラクトは、外部サーバーからCLEARSHORTのランディングページを取得する役割を担っており、そのページではClickFixというソーシャルエンジニアリング手法が用いられ、被害者をWindowsの「ファイル名を指定して実行」ダイアログ（またはMacのターミナルアプリ）で悪意のあるコマンドを実行させ、最終的にシステムを窃取型マルウェアに感染させます。ランディングページは通常Cloudflareの.devページ上にホストされており、2024年12月以降は暗号化された形式で取得されます。 Windowsシステムでは、悪意のあるコマンドはMediaFireのURLからダウンロードしたHTMLアプリケーション（HTA）ファイルの実行を伴い、その後PowerShellスクリプトを展開して防御を回避し、GitHubやMediaFire、または攻撃者自身のインフラから暗号化された最終ペイロードを取得し、アーティファクトをディスクに書き込まずにメモリ上で直接スティーラーを実行します。 2025年2月および4月にmacOSを標的とした攻撃では、攻撃者はClickFixのデコイを利用してユーザーにターミナルでbashコマンドを実行させ、シェルスクリプトを取得させていました。このスクリプトはcurlコマンドを使ってリモートサーバーからAtomic Stealerのペイロードを取得します。 CLEARSHORTはClearFakeの亜種とみられており、ClearFakeは2025年3月にフランスのサイバーセキュリティ企業Sekoiaによって詳細に分析されました。ClearFakeは、侵害されたウェブサイト上に展開される不正なJavaScriptフレームワークで、ドライブバイダウンロード手法を用いてマルウェアを配布します。2023年7月から活動が確認されており、2024年5月ごろからClickFixが採用されています。 ブロックチェーンの悪用にはいくつかの利点があり、この巧妙な手法は正規のWeb3活動に紛れ込むだけでなく、UNC5142の活動を検出やテイクダウンから守る耐性も高めています。 Googleによれば、この脅威アクターのキャンペーンは過去1年で大きく進化しており、2024年11月からは単一コントラクトシステムから、より高度な3つのスマートコントラクトシステムへと移行し、運用の機動性を高めているとのことです。今年1月にもさらなる改良が確認されています。 「この新しいアーキテクチャは、プロキシパターンと呼ばれる正規のソフトウェア設計原則を応用したもので、開発者がコントラクトをアップグレード可能にするために利用します」と説明しています。 「この構成は非常に効率的なルーター・ロジック・ストレージアーキテクチャとして機能し、それぞれのコントラクトが特定の役割を担います。この設計により、侵害されたウェブサイト上のJavaScriptを修正することなく、ランディングページのURLや復号鍵など攻撃の重要部分を迅速に更新できます。その結果、キャンペーンは非常に機動的でテイクダウンにも強くなっています。」 UNC5142は、スマートコントラクトのデータが可変である（プログラムコード自体は一度デプロイされると不変であることに注意）という性質を利用し、ペイロードURLを変更しています。これらの更新にはネットワーク手数料として0.25ドルから1.50ドル程度がかかります。 さらなる分析により、脅威アクターがCLEARSHORTダウンローダーを介してスティーラーマルウェアを配信するために、2つの異なるスマートコントラクトインフラを使用していることが判明しました。メインインフラは2024年11月24日に作成され、並行するセカンダリインフラは2025年2月18日に資金提供されています。 「メインインフラはコアキャンペーンインフラとして際立っており、早期から作成され、安定した更新が続いています」とGTIGは述べています。「セカンダリインフラは並行して展開されたより戦術的なもので、特定のキャンペーン活動の急増を支援したり、新しい誘導手法をテストしたり、単に運用の耐性を高めるために設置された可能性があります。」 「感染チェーンの頻繁な更新、安定した運用テンポ、過去1年半にわたる侵害サイトの多さと配布されるマルウェアペイロードの多様性を考えると、UNC5142は一定の成功を収めている可能性が高いと考えられます。」 翻訳元:

マピオンが提供するマピオンニュースへようこそ。注目のトピックを紹介します。サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point(R) Sof...

Check Point Research has revealed a new version of the Rhadamanthys malware, now with advanced techniques to evade detection, posing a growing threat to businesses and individuals.

チェック・ポイント・リサーチが発表した新たな情報窃取型マルウェア「Rhadamanthys 0.9.2」。その新機能と影響について詳述します。

新たな情報窃取型マルウェア「Rhadamanthys 0.9.2」が、進化した検出回避技術を搭載。セキュリティへの影響を詳解します。

Check Point: Rhadamanthys MaaS stealer (v0.9.2) expands fingerprinting, PNG steganography, and tiered pricing from $299–$499/month.

Check Point: Rhadamanthys MaaS stealer (v0.9.2) expands fingerprinting, PNG steganography, and tiered pricing from $299–$499/month.

The threat actor behind Rhadamanthys has also advertised two other tools called Elysium Proxy Bot and Crypt Service on their website, even as the flagship information stealer has been updated to support the ability to collect device and web browser fingerprints, among others. "Rhadamanthys was initially promoted through posts on cybercrime forums, but soon it became clear that the author had a