CISAは本日、WhatsAppを実行するデバイスにLandFallスパイウェアを展開するためにゼロデイ攻撃で悪用された重大なSamsungの脆弱性を修正するよう、米国連邦機関に命じました。
このスパイウェアは、被害者の閲覧履歴へのアクセス、通話や音声の録音、位置情報の追跡、写真・連絡先・SMS・通話履歴・ファイルへのアクセスが可能です。
Unit 42の分析によると、Galaxy S22、S23、S24シリーズやZ Fold 4、Z Flip 4など、幅広いSamsungのフラッグシップモデルが標的となっています。
Unit 42の研究者が調査したVirusTotalのサンプルデータによると、イラク、イラン、トルコ、モロッコが潜在的な標的となっており、C2ドメインインフラや登録パターンは、アラブ首長国連邦発のStealth Falcon作戦で見られたものと類似しています。
もう一つの手がかりは、マルウェアローダーコンポーネントに「Bridge Head」という名称が使われている点で、これはNSO Group、Variston、Cytrox、Quadreamなどが開発した商用スパイウェアでよく見られる命名規則です。しかし、LandFallは既知のスパイウェアベンダーや脅威グループとは確実に関連付けられていません。
CISAは現在、CVE-2025-21042の脆弱性を、既知の悪用された脆弱性カタログに追加しました。このカタログは、攻撃で積極的に悪用されているセキュリティバグをリストアップしており、連邦民間行政機関(FCEB)に対し、継続中の攻撃からSamsungデバイスを3週間以内(12月1日まで)に保護するよう、運用指令(BOD)22-01に基づいて命じています。
FCEB機関は、米国行政機関のうち軍事以外の機関であり、エネルギー省、財務省、国土安全保障省、保健福祉省などが含まれます。
この拘束力のある運用指令は連邦機関のみに適用されますが、CISAはすべての組織に対し、このセキュリティ欠陥の修正をできるだけ早く優先するよう呼びかけています。
「この種の脆弱性は悪意あるサイバー攻撃者による攻撃ベクトルとして頻繁に利用されており、連邦組織に重大なリスクをもたらします」と警告しています。
「ベンダーの指示に従って緩和策を適用し、クラウドサービスには該当するBOD 22-01のガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止してください」とサイバーセキュリティ機関は付け加えました。
9月には、Samsungがゼロデイ攻撃で悪用された別のlibimagecodec.quram.soの脆弱性(CVE-2025-21043)を修正するためのセキュリティアップデートをリリースしました。
