2026年3月、JavaScriptで実装された危険なバックドアを配布する高度なマルスパムキャンペーンが世界規模で展開されました。
攻撃者はあらゆる地域の重要組織を標的とし、特に独立国家共同体(CIS)のエネルギー省・財務省に重点的に攻撃を仕掛けました。
セキュリティ研究者によると、これらのキャンペーンは金銭的動機に強く駆られており、主な目的はビジネスメール詐欺(BEC)やメールアカウント侵害(EAC)攻撃を実行することにあります。
攻撃者たちは活動を隠蔽するため、高い耐障害性を持つ「ブレットプルーフホスティング」ネットワークを活用しています。
今回のマルスパムキャンペーンでは、スパムメールの配信とコマンド&コントロール(C2)サーバーのホスティングに、2つの異なるブレットプルーフホスティングプロバイダーが活用されています。
1つ目のネットワークは米国拠点のGHOSTYNETWORKSで、攻撃者に安全な隠れ場所を提供しています。調査によって高い確度で、GHOSTYNETWORKSはOPTIBOUNCEのリブランドであることが判明しています。
これにより、このインフラはTeamPCPなどの高度な脅威グループが歴史的に多用してきた悪名高いホスティングサービス「AnonRDP」と直接結びついています。
2つ目のネットワークOMEGATECHはセーシェルを拠点としており、攻撃者にオフショアの保護レイヤーを提供しています。オープンソースインテリジェンスの分析から、OMEGATECHはホスティングプロバイダーVirtualineが新たに立ち上げたネットワークであることが示唆されています。
このサービスは地下サイバー犯罪フォーラムで積極的に宣伝され、悪意ある事業者の獲得を図っています。
攻撃者のインフラをさらに分析したところ、2025年末に遡るマルスパムやマルウェアの活動履歴が確認されており、そこでも同様のブレットプルーフホスティングが利用されていました。
主な標的はエネルギー省・財務省であり、特にCIS地域に所在する機関が狙われています。攻撃者は金銭的動機を持ち、ビジネスメール詐欺やメールアカウント侵害スキームの実行を目的としています。
マルスパムメールやJavaScriptバックドアのC2サーバーは、GHOSTYNETWORKSとOMEGATECHでホスティングされています。
GHOSTYNETWORKSはAnonRDPおよびTeamPCPなどの高度な脅威グループとの関連が確認されており、インフラを追跡することで2025年末に遡る類似のマルスパムキャンペーンの歴史が浮かび上がっています。
組織が直面する脅威は、侵入セットや攻撃者の高度化という形で急速に深刻化しています。こうした進化する脅威に効果的に対抗するには、セキュリティチームが脅威検知においてプロアクティブなアプローチを採用することが不可欠です。
ブレットプルーフインフラに支えられた複雑なBEC攻撃を防ぐうえで、事後対応に頼るだけではもはや不十分です。
悪意ある活動を継続的に監視・迅速に分析することで、企業は侵害を事前に予測し、インシデント発生時にも即座に対応できるようになります。
Intrinsecの2026年3月付けサイバー脅威インテリジェンスレポートによると、これらのサイバー脅威を封じ込めるうえで実用的なインテリジェンスが極めて重要とされています。
セキュリティ監視サービス、インシデントレスポンスチーム、独自ヒューリスティックのデータを統合することで、攻撃者のインフラをより深く把握することが可能になります。
セキュリティ責任者は、侵害の痕跡(IOC)に関するオペレーショナルフィードをEDR・XDR・SIEMといった既存の検知ツールに直接統合することを検討すべきです。
さらに、データ漏洩検知や外部アセットセキュリティを目的としたデジタルリスク監視を導入することで、マルスパムキャンペーンの成功率を大幅に低下させることができます。
翻訳元: https://cyberpress.org/hackers-abuse-malware-hosting/