サイバーセキュリティ研究者は、CountLoaderというコードネームの新しいマルウェアローダーを発見しました。これはロシアのランサムウェア集団によって、Cobalt StrikeやAdaptixC2のようなポストエクスプロイトツール、そしてPureHVNC RATとして知られるリモートアクセス型トロイの木馬を配布するために利用されています。
「CountLoaderは、初期アクセスブローカー(IAB)のツールセットの一部として、またはLockBit、Black Basta、Qilinといったランサムウェアグループと関係のあるランサムウェアアフィリエイトによって使用されています」とSilent Pushは分析で述べています。
.NET、PowerShell、JavaScriptという3つの異なるバージョンが存在し、新たな脅威として、ウクライナの個人を標的としたPDFベースのフィッシング誘導やウクライナ国家警察を装ったキャンペーンで観測されています。
このマルウェアのPowerShellバージョンは、以前Kasperskyによって、DeepSeek関連のデコイを使ってユーザーを騙しインストールさせる手法で配布されていると指摘されていました。
ロシアのサイバーセキュリティベンダーによると、これらの攻撃は、BrowserVenomと呼ばれるインプラントの展開につながり、すべてのブラウジングインスタンスを脅威アクターが制御するプロキシ経由で通信させることで、攻撃者がネットワークトラフィックを操作しデータを収集できるようにします。
Silent Pushの調査によれば、JavaScriptバージョンがローダーとして最も完成度が高く、ファイルダウンロードのための6つの異なる手法、様々なマルウェアバイナリを実行するための3つの異なる方法、そしてWindowsドメイン情報に基づいて被害者デバイスを特定するための定義済み関数を備えています。
このマルウェアはまた、システム情報の収集、ChromeウェブブラウザのGoogleアップデートタスクを装ったスケジュールタスクを作成することでホスト上に永続化を設定、さらにリモートサーバーに接続して追加の指示を待つことが可能です。
これには、rundll32.exeやmsiexec.exeを利用したDLLおよびMSIインストーラーペイロードのダウンロードと実行、システムメタデータの送信、作成したスケジュールタスクの削除などが含まれます。ファイルダウンロードに使われる6つの手法は、curl、PowerShell、MSXML2.XMLHTTP、WinHTTP.WinHttpRequest.5.1、bitsadmin、certutil.exeの利用です。
「’certutil’や’bitsadmin’のようなLOLBinの利用や、オンザフライでコマンドを暗号化するPowerShellジェネレーターの実装により、CountLoaderの開発者はWindowsオペレーティングシステムとマルウェア開発に関する高度な理解を示しています」とSilent Pushは述べています。
CountLoaderの注目すべき特徴は、被害者のMusicフォルダーをマルウェアの一時保管場所として利用する点です。.NETバージョンはJavaScript版と一部機能が重複していますが、サポートするコマンドは2種類(UpdateType.ZipまたはUpdateType.Exe)のみで、より簡素化されたバージョンとなっています。
CountLoaderは20以上のユニークなドメインからなるインフラによって支えられており、Cobalt Strike、AdaptixC2、そしてPureHVNC RAT(最後のものはPureCoderとして知られる脅威アクターによる商用提供)などのマルウェアの伝達経路となっています。PureHVNC RATはPureRAT(PureRATとも呼ばれ、ResolverRATとも呼ばれる)の前身であることも指摘されています。
最近のPureHVNC RAT配布キャンペーンでは、実績あるClickFixソーシャルエンジニアリング手法が配布経路として利用されており、Check Pointによると、被害者は偽の求人広告を通じてClickFixフィッシングページに誘導されています。このトロイの木馬はRustベースのローダーによって展開されます。
「攻撃者は偽の求人広告を使って被害者を誘い出し、ClickFixフィッシング手法を通じて悪意のあるPowerShellコードを実行しました」とサイバーセキュリティ企業は述べており、PureCoderがPureRATの機能を支えるファイルをホストするために、回転するGitHubアカウントセットを利用していると説明しています。
GitHubコミットの分析により、UTC+03:00のタイムゾーンから活動が行われていたことが判明しており、これはロシアなど多くの国に該当します。
この開発は、DomainTools Investigationsチームがロシア系ランサムウェアの相互関連性を明らかにし、脅威アクターがグループ間を移動し、AnyDeskやQuick Assistのようなツールを利用していることを特定したことと同時期に起こっています。これは運用上の重複を示唆しています。
「これらのオペレーター間でのブランドへの忠誠心は弱く、人的資本が主要な資産であり、特定のマルウェア種ではありません」とDomainToolsは述べています。「オペレーターは市場状況に適応し、摘発に応じて再編成し、信頼関係が重要です。これらの人物は、組織名に関係なく、知っている人と協力することを選びます。」
翻訳元: https://thehackernews.com/2025/09/countloader-broadens-russian-ransomware.html