GolangベースのBLUERABBITと呼ばれる新たなバックドアが、データ窃取・ファイル暗号化・ディスク消去の機能を組み合わせた強力な攻撃により、Windowsシステムを積極的に標的としています。
2026年3月中旬から下旬にかけて初めて確認され、イスラエルの組織を標的としていると見られるこのマルウェアは、イランと関連する脅威アクターによるものとされています。
Googleの脅威インテリジェンスグループ(GTIG)によれば、このアクティビティクラスターは、2025年6月に確認されたBLUEWIPEおよびSEWERGOOマルウェアと同一の組織によるものだということです。
BLUERABBITが際立っているのは、コマンド&コントロール(C2)通信を正規のエンタープライズ向けメッセージブローカープロトコル内に隠蔽することで、標準的なセキュリティツールによる検知を困難にしている点です。
このマルウェアは、高インパクトな攻撃を目的として設計されたフルスペクトルの侵入ツールとして機能します。
従来のHTTPベースの通信に頼ることなく、BLUERABBITはRabbitMQを通じてタスクを受け取り、Redisで状態を管理し、S3互換のクラウドストレージサービスであるMinIOを経由してデータを窃取します。
この組み合わせにより、攻撃者は破壊的なペイロードを展開する前に、密かに機密情報を抽出することが可能になります。
ファイルを.candy拡張子で暗号化する前にデータを盗み出すため、攻撃者はダブルエクストーション(二重恐喝)モデルを採用しており、被害者は業務停止とデータ漏洩という二重の脅威にさらされます。
BLUERABBITは高度にモジュール化されたタスクシステムで動作し、コントロールサーバーは特定の機能をトリガーするための数値タスクIDを送信します。
マルウェアはまずRabbitMQに接続し、被害者のデバイス名を付けたキューを宣言することで攻撃を開始します。このキューを通じてJSON形式でタスクを受信し、実行結果をRedisに書き戻します。
このマルウェアには、システムを完全に侵害するために設計された十数種類の組み込みモジュールが含まれています。主な機能は以下のとおりです。
VNCを使用したキーボード・マウス入力に対応した完全なリモートデスクトップ制御機能。OS情報・ネットワーク設定・セキュリティ製品・BitLockerの状態などを収集する包括的なシステムプロファイリング機能。
カスタムディレクトリにファイルをステージングしたうえで攻撃者が管理するMinIOサーバーへ送信するデータ窃取機能。すべての論理ドライブ上のファイルを暗号化し、AIが生成した警告画像でデスクトップの壁紙を置き換えるファイル暗号化機能。
システムを永久に回復不能な状態にするため、シングルパスによるランダムデータ上書きやマルチパスシーケンスを実行できるディスク消去モジュール。
破壊的な動作を実行する前に、このバックドアはシステムの回復を防ぐための準備を入念に行います。組み込みのWindowsコマンドを使用して、bootmgrやntoskrnl.exeを含む重要なブートファイルの所有権を奪取します。
さらに、複数のレジストリキーを変更して自動再起動を無効化し、システムの回復をブロックし、スケジュールされたメンテナンスを停止します。これにより、暗号化またはディスク消去のプロセスが中断なく完了することが保証されます。
BinaryDefenseの調査によると、BLUERABBITは偽装したスケジュールタスクを利用しています。初回実行時に特定のレジストリキーを確認し、過去に実行された履歴があるかどうかを調べます。
初回実行と判断した場合は、PowerShellを使用して「OneDrive Update」という名前のスケジュールタスクを作成します。このタスクはシステム起動時に開始するよう設定されています。
60秒ごとに繰り返し実行されるため、マルウェアのプロセスを単純に終了するだけでは完全な除去には不十分です。永続性を完全に排除するには、スケジュールタスク自体を削除する必要があります。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])が施されています。MISP・VirusTotal・SIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみリファングしてください。
翻訳元: https://cyberpress.org/bluerabbit-targets-windows-files/
