悪名高いPaper Werewolf高度な持続的脅威(APT)グループは、サイバースパイ活動のぞっとするようなエスカレーションの中で、ロシアの産業、金融、運輸部門に対する新たな攻撃波を展開した。
2026年3月および4月のグループ活動を監視していたセキュリティ研究者たちは、極めて高度なフィッシングキャンペーンを発見した。
攻撃者は感染チェーンを積極的に実験し、偽のPDFと欺瞞的なインストーラーを使用して、致命的なペイロードをエンタープライズネットワークの深部に配信している。
主要な侵入ポイントは、PDFの添付ファイルを含む兵器化されたメールに依存している。被害者がドキュメント内の「更新をインストール」ボタンをクリックすると、正規のAdobe Acrobatプラグインを含むように見えるZIPアーカイブが無意識のうちにダウンロードされる。
アナリストは、この実行ファイルが実際には疑いを避けるために、無害なPDFの囮と一緒にEchoGather遠隔アクセストロージャン(RAT)をステルスインストールしていると報告している。
侵入後、EchoGatherはIPアドレスやユーザー名などのシステム詳細情報を収集しながら、リモート実行コマンドを待つ。
興味深いことに、このRATの最近の亜種は、コマンドサーバーと通信する前にアンチウイルスのサンドボックス環境をバイパスするために、独自の数学的検証プロセスを使用している。
初期の足がかりを超えて、Paper Werewolfは悪意あるツールキットを大幅に拡張した。セキュリティ専門家は、PaperGrabberと呼ばれる以前は文書化されていなかったデータ盗取ツールを発見した。
このカスタムプログラムは、ローカルドライブ、ネットワーク共有、および接続されたUSB全体で、機密ファイル、ブラウザーパスワード、およびTelegramデータを細心に探す。
特にSSHキーと暗号化証明書の検出を優先し、盗まれたデータを攻撃者が制御するプライベートTelegramボットにシームレスに流す。
これらの高度なインプラントを配信するために、APTはJavaScript、C++、および.NETで書かれたダウンローダーの複雑なウェブに依存している。これらのスクリプトの一部は、正規のWindowsレジストリ機能を悪用するか、通常のNode.js開発者ツールを模倣することで、目立たないように隠れている。
翻訳元: https://cyberpress.org/paper-werewolf-delivers-echogather/