APT: ロシア系APTの可能性
Malware: ブラウザ内JavaScript stealer
CVE: CVE-2025-66376
IoC: zimbrasoft[.]com[.]ua, Ukrainian State Hydrology Agency, Zimbra Classic UI, CSS @import, XOR key twichcba5e, GetScratchCodesRequest, CreateAppSpecificPasswordRequest

攻撃後は、localStorageのCSRFトークンを取得し、Zimbra SOAP APIを正規操作のように叩いて情報を収集。C2は zimbrasoft[.]com[.]ua で、DNSとHTTPSの両方で外部送信していた。Seqriteは、標的選定と手口の重なりからロシア系APTとの整合性を中程度の確度で評価している。

Seqriteによると、標的はウクライナ国家水路機関で、2026年1月22日に届いた“実習問い合わせ”を装うメールが発端。悪性コードはHTML本文に埋め込まれており、CVE-2025-66376を悪用してブラウザ上で実行される。

The Invisible Breach: 'Operation GhostMail' Uses Zero-Click XSS to Hijack Ukrainian Webmail Seqrite Labs uncovers Operation GhostMail, an APT28-linked campaign using a zero-click XSS flaw in Zimbra to silently hijack Ukrainian government webmail.

Operation GhostMailは、Zimbraのstored XSSを使って、メール本文だけでウクライナ政府系組織のメール環境を静かに乗っ取る攻撃。重要なのは、添付ファイルも不審リンクも不要で、受信者が脆弱なZimbra Classic UIでメールを開くだけで、資格情報、セッショントークン、2FAバックアップコード、過去90日分のメールまで抜かれる点。 

#CyberSecurity #ThreatIntel #Zimbra #Ukraine #XSS #GhostMail
securityonline.info/invisible-br...

APT: 特定なし
Malware: Vidar Stealer 2.0
CVE: 記載なし
IoC: Pastebin, background.exe, SystemBackgroundUpdate, Telegram bot DDR, Steam profile DDR, %AppData%, fake GitHub cheat repos, Reddit lure posts

流れは、Reddit投稿や偽GitHubリポジトリから誘導し、パスワード付きアーカイブや偽ツールを実行させる構成。実行後はPastebinから次段階URLを取得し、%AppData%配下の隠しフォルダに background.exe を落とし、SystemBackgroundUpdate というタスクで永続化する。最終的なVidar 2.0本体はTelegram botやSteamプロフィールをdead drop resolverとして使い、実C2を隠す。

Game Over: Vidar Stealer 2.0 is Hijacking Gamers with Fake Cheats Acronis uncovers a massive campaign targeting gamers with fake cheats to deliver Vidar Stealer 2.0, a highly evasive malware stealing crypto and passwords.

Vidar Stealer 2.0は、GitHubやReddit上の偽ゲームチートを使って拡散する新しいインフォスティーラー運用。重要なのは、無料チートを探すゲーマーを狙い、Defender除外追加やTelegram/Steamを使うDDRで静かに認証情報やウォレットを抜く点。 

#CyberSecurity #ThreatIntel #Vidar #Infostealer #GitHub #Reddit #Gaming
securityonline.info/game-over-vi...

APT: APT28, Fancy Bear, Strontium
Malware: browser-resident JavaScript stealer
CVE: CVE-2025-66376
IoC: Operation GhostMail, Zimbra Classic UI, CSS @import, Ukrainian State Hydrology Agency, DNS and HTTPS exfiltration

今回の Operation GhostMail では、ウクライナ国家水路機関が標的の一つとされ、受信者が脆弱なZimbra Classic UIでメールを開くと、埋め込まれた難読化JavaScriptが静かに実行される。盗んだデータはDNSとHTTPSの両方で外部送信され、SeqriteはAPT28帰属を中程度の確度で評価している。

Russian hackers exploit Zimbra flaw in Ukrainian govt attacks Hackers part of APT28, a state-backed threat group linked to Russia's military intelligence service (GRU), are exploiting a Zimbra Collaboration Suite (ZCS) vulnerability in attacks targeting Ukrainia...

APT28は、Zimbraのstored XSS脆弱性 CVE-2025-66376 を使って、ウクライナ政府系組織のメール環境を狙っている。重要なのは、添付ファイルも不審リンクも使わず、HTMLメール本文だけで資格情報、セッショントークン、2FAバックアップコード、保存済みパスワード、過去90日分のメールを抜ける点。 

#CyberSecurity #ThreatIntel #APT28 #Zimbra #Ukraine #XSS
www.bleepingcomputer.com/news/securit...

ロシアは情報戦分野において、AIを活用した自動化プロパガンダ生成および拡散技術の導入を進めている。報道では、ソーシャルメディア上での影響工作において、生成AIを用いたコンテンツ作成とボットネットによる拡散が組み合わされていると指摘されている。これにより、低コストで大規模な情報操作が可能となり、心理戦・認知戦の能力強化につながっている。
#ロシア #情報戦 #AI #プロパガンダ #認知戦 #サイバー影響工作
example.com/russia-ai-in...

中国政府は最新の政策発表において、重要情報インフラの防護とデータ主権の確保を国家安全保障の核心として位置付けた。特にエネルギー、通信、金融分野におけるサイバー防護強化と、国外データ流出の統制が重点とされている。これにより、サイバー防衛と国内統制を一体化させた国家主導モデルがさらに強化されている。
#中国 #サイバーセキュリティ政策 #重要インフラ #データ主権 #国家安全保障
example.com/china-cyber-...

ロシア軍はウクライナ戦線において、電子戦システムとサイバー作戦を連携させた統合運用を拡大している。通信妨害、GPS攪乱、ドローン制御妨害に加え、敵指揮系統への侵入や情報撹乱を組み合わせることで、戦術単位での情報優位確保を図っている。これにより物理戦闘と情報戦の境界が曖昧化し、戦場における意思決定速度と精度の優位確保が重視されている。
#ロシア #電子戦 #サイバー作戦 #情報戦 #ドローン戦 #戦術統合
example.com/russia-ew-cy...

中国当局は、軍民融合政策の一環として、AIおよびビッグデータを活用した軍事意思決定支援システムの開発を加速している。報道では、軍事訓練データ、監視データ、通信データを統合する基盤の整備が進められており、戦場認識能力および指揮統制の高度化が目的とされる。特にサイバー空間における状況認識とリアルタイム意思決定への応用が重視されており、AIを中核とした統合戦能力の構築が進行している。
#中国 #軍民融合 #AI軍事利用 #データ統制 #指揮統制 #サイバー戦
example.com/china-milita...