希少なWerewolf(以前はRare Wolfとして知られていた)と呼ばれる脅威アクターが、ロシアおよび独立国家共同体(CIS)諸国を標的とした一連のサイバー攻撃に関連付けられています。
「この脅威の特徴は、攻撃者が独自の悪意のあるバイナリを開発するのではなく、正規のサードパーティ製ソフトウェアを使用することを好む点です」とカスペルスキーは述べています。「この記事で説明されているキャンペーンの悪意のある機能は、コマンドファイルとPowerShellスクリプトを通じて実装されています。」
攻撃の目的は、侵害されたホストにリモートアクセスを確立し、資格情報を盗み、XMRig暗号通貨マイナーを展開することです。この活動は、産業企業や工学学校にまたがる数百人のロシアのユーザーに影響を与え、ベラルーシとカザフスタンでも少数の感染が記録されています。
希少なWerewolfは、Librarian GhoulsやRezetとしても知られており、ロシアやウクライナの組織を攻撃する実績を持つ高度な持続的脅威(APT)グループに割り当てられた名前です。少なくとも2019年から活動していると考えられています。
BI.ZONEによると、脅威アクターはフィッシングメールを使用して初期アクセスを取得し、その足場を利用して文書、Telegramメッセンジャーデータを盗み、Mipko Employee Monitor、WebBrowserPassView、Defender Controlなどのツールをドロップして感染したシステムと対話し、パスワードを収集し、ウイルス対策ソフトウェアを無効にします。
カスペルスキーによって文書化された最新の攻撃セットは、実行可能ファイルを含むパスワード保護されたアーカイブを使用して感染を開始するマルウェア配信手段としてフィッシングメールを使用していることを明らかにしています。
アーカイブ内には、4t Tray Minimizerという正規のツールを展開するためのインストーラーや、支払い命令を模したデコイPDF文書などの他のペイロードが含まれています。
「このソフトウェアは実行中のアプリケーションをシステムトレイに最小化でき、攻撃者が侵害されたシステム上での存在を隠すことができます」とカスペルスキーは述べています。
これらの中間ペイロードは、その後、Defender ControlやBlatなどの追加ファイルをリモートサーバーから取得するために使用されます。Blatは、攻撃者が制御するメールアドレスにSMTPを介して盗まれたデータを送信するための正規のユーティリティです。攻撃はまた、AnyDeskリモートデスクトップソフトウェアの使用と、データの窃取とマイナーの展開を容易にするためのWindowsバッチスクリプトの使用によって特徴付けられます。
バッチスクリプトの顕著な側面は、PowerShellスクリプトを起動し、被害者のシステムを現地時間の午前1時に自動的に起動し、AnyDeskを介して4時間のウィンドウでリモートアクセスを攻撃者に許可する機能を組み込んでいることです。その後、午前5時にスケジュールされたタスクによってマシンがシャットダウンされます。
「サードパーティの正規ソフトウェアを悪意のある目的で利用することは一般的な手法であり、APT活動の検出と帰属をより困難にします」とカスペルスキーは述べています。「すべての悪意のある機能は、インストーラー、コマンド、およびPowerShellスクリプトに依存しています。」
この開示は、Positive Technologiesが、DarkGaboonと呼ばれる金銭的動機を持つサイバー犯罪グループがLockBit 3.0ランサムウェアを使用してロシアのエンティティを標的にしていることを明らかにした際に行われました。DarkGaboonは、2025年1月に初めて発見され、2023年5月から活動していると言われています。
同社によると、攻撃はRTF誘導文書とWindowsスクリーンセーバーファイルを含むアーカイブファイルを持つフィッシングメールを使用して、LockBitエンクリプターやXWorm、Revenge RATのようなトロイの木馬をドロップします。利用可能なツールを使用することは、攻撃者がより広範なサイバー犯罪活動に溶け込もうとし、帰属の試みを困難にしようとする試みと見なされています。
「DarkGaboonはLockBit RaaSサービスのクライアントではなく、独立して行動していることが、LockBitランサムウェアの公開されているバージョンの使用、攻撃された企業でのデータ流出の痕跡の欠如、盗まれた情報を[データリークサイト]ポータルで公開するという伝統的な脅威によって示されています」とPositive Technologiesの研究者Victor Kazakovは述べました。
翻訳元: https://thehackernews.com/2025/06/rare-werewolf-apt-uses-legitimate.html