「BLUERABBIT」と名付けられたGolang製の新たなバックドアが、Windowsホストに対してデータ窃取・ファイル暗号化・破壊的なディスク消去を組み合わせた攻撃を実行していることが確認されました。
2026年3月中旬から下旬にかけて初めて確認され、イスラエルの組織を標的にしていると見られるBLUERABBITは、リモートアクセス、システムプロファイリング、攻撃者管理のクラウドストレージへのデータ送出、.candy拡張子を付加するファイル暗号化、そしてシステムを復旧不可能な状態に陥れる2種類のディスク消去ルーチンを含む、フルスペクトラムの侵入フレームワークを実装しています。
BLUERABBITのアーキテクチャで特筆すべきは、正規のエンタープライズグレードコンポーネントをコマンド&コントロール(C2)およびデータチャネルとして悪用している点です。
従来のHTTPコールバックに頼るのではなく、このマルウェアはタスク管理チャネルとしてRabbitMQ(AMQP)を、状態・結果管理にRedisを、大量ファイル送出にMinIO(S3互換)を利用しています。
バイナリは実行時に被害端末の名前を冠したAMQPキューを宣言し、JSON形式でエンコードされた数値タスクIDを処理します。各IDはVNCスタイルのリモート操作、スクリーンショット取得、シェル実行、破壊的ルーチンなど、十数種類以上の組み込みモジュールのいずれかに対応しており、モジュール型のタスク実行を可能にしています。
永続化は「OneDrive Update」に偽装したスケジュールタスクによって実現されています。サンプルはHKCU\Software\OneDrive\Environmentを確認して過去の実行履歴を検出し、初回実行時には最高権限で動作し、60秒ごとに繰り返し、起動時にもトリガーされるスケジュールタスクをPowerShellコマンドで登録します。
Google脅威インテリジェンスグループ(GTIG)の分析により、このツールはBLUEWIPEおよびSEWERGOOの活動に関与していたとされるイランと関係が深い脅威クラスターに紐付けられています。
作者がバイナリからシンボルを除去しなかったため、内部名「Rabbit」や開発ビルドのマーカーが残存しており、帰属分析の一助となりました。C2のIPアドレス、ポート、認証情報といった重要な設定項目はバイナリ内でAES保護されています。
運用上、BLUERABBITは明確なキルチェーンに従っています。初回実行、永続化、RabbitMQによるC2登録、タスク処理、偵察、MinIOへのステージングおよびデータ送出、そして最終的な破壊活動という流れです。
BLUERABBITバックドアによるファイル暗号化
偵察フェーズでは、OS、ハードウェア、ネットワーク、インストール済みソフトウェアおよびセキュリティ製品の情報、BitLockerの状態、ドライバー、ドメイン所属情報が収集されます。
送出対象ファイルは、非標準の文字セット(A〜Z、0〜9)で生成されたGUID形式のディレクトリにステージングされます。正規のWindows GUIDは16進数文字のみで構成されるため、これは信頼性の高い検出シグナルとなります。
破壊的な機能の深刻度は非常に高いです。BLUERABBITはすべての論理ドライブ上のファイルを暗号化して.candy拡張子を付加し、デスクトップの壁紙をAI生成の「High-Alert」画像に置き換えることができます。また、回復を不可能にすることを目的とした、シングルパスによるランダム上書きと多段階シーケンス(ゼロ、ランダム、0xFF)の両方も備えています。
破壊実行前に、マルウェアはtakeown/icaclsを使って主要ブートファイルの所有権を取得し、自動再起動・システム回復・スケジュールメンテナンスを無効化するレジストリキーを変更することで、消去や暗号化が中断なく進行するよう環境を整えます。
防御側にとって、いくつかの精度の高い検出機会が存在します。即時繰り返しトリガーを持つ「OneDrive Update」スケジュールタスク、エンドポイントから予期しないRabbitMQブローカーへのAMQPトラフィックなどが挙げられます。
サーバー以外のエンドポイントでのMinIOクライアント使用や異常な親プロセスからの呼び出し、16進数でないGUID形式のステージングディレクトリ、メンテナンス時間外にブートファイルに対してtakeown/icaclsを呼び出すプロセスも検出対象となります。
組織はこれらのシグナルについてエンドポイントおよびネットワークのテレメトリを早急に検証し、悪意あるスケジュールタスクを削除し、異常なAMQPおよびMinIOの宛先をブロックし、ステージング活動やブートファイルの所有権変更が確認されたホストを隔離すべきです。
BLUERABBITのデータ送出と取り返しのつかない消去を組み合わせた性質を考えると、データ損失と長期的な業務への影響を防ぐために、迅速な封じ込めが不可欠です。
侵害の痕跡(IoC)
| 種別 | インジケーター |
| ファイル(SHA-256) | 633d4cbd496b1094495da89a64f5e6c31a0f6d4d1488411db5b0cba1cfe42001 |
| ファイル(SHA-256) | 9706a192e2c1a1faaf0a521daf31c2af60ff4590e3f47bbb4abc227f42af0683 |
| ファイル(SHA-256) | ce9ad5f6c12019f4aae5b189bd8ddf5bb09e75b06a0a587b25a855c65948c913 |
| ファイル(SHA-256) | f622ed85ef31ad4ab973f4e74524866fe1bb44f0965ad2b2ad796cd657a05bfd |
| IPアドレス | 185.182.193.21 |
| IPアドレス | 212.8.248.104 |
| JA3 | 806dab5164cf60d94026b88ab2d9851d |
| JA4 | t13i131000_f57a46bbacb6_e5728521abd4 |
| JA3 | d80125b9429e9d5f06ace959f00de8d0 |
| JA3S | d75f9129bb5d05492a65ff78e081bcb2 |
| JA4 | t13i130900_f57a46bbacb6_e7c285222651 |
注記: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため意図的にデファング処理(例:[.])されています。MISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみ元の形式に戻して使用してください。
翻訳元: https://gbhackers.com/bluerabbit-backdoor-encrypts-files/
