宿泊業界に携わる人々は、宿泊客からのクレーム対応に迅速に応じる必要があります。悪意ある攻撃者は最近、この心理につけ込みました。日本各地のBooking.com提携ホテルを標的に、巧妙なメールを送りつけたのです。攻撃者は不満を抱いた宿泊客を装ってメッセージを送信し、ホテルスタッフに添付された写真やクレーム文書を開くよう仕向けました。この操作が引き金となり、高度に洗練されたTONResolver感染チェーンが発動する仕組みです。
フィッシングの手口と検知回避策
Trend Microの研究者は2026年5月下旬にこの計算されたサイバー攻撃を発見しました。当初、攻撃者は大規模なフィッシングキャンペーンを展開していました。さらに、Gmailアカウントを利用した非常に標的を絞った手口も併用していました。後者のケースでは、攻撃者はまずリンクを含まない無害な問い合わせメールを送信します。そしてホテル従業員からの返信をじっくりと待ちます。信頼関係を築いた後になって初めて、悪意あるURLを送りつけるのです。この段階的な手法により、ペイロードを配信する前に相手の警戒心を最小限に抑えることに成功していました。
感染の流れ
この悪意ある侵害は、被害者が提供されたリンクをクリックしたことから始まります。この操作により、偽装されたZIPアーカイブのダウンロードが促されます。アーカイブ内には、画像ファイルを装ったLNKショートカットが巧妙に隠されています。実行されると、このショートカットは即座にPowerShellコマンドを起動します。続いて二次スクリプトをダウンロードし、Node.jsをひそかに展開します。最終的に、感染したマシン上でJavaScriptベースのTONResolverマルウェアが実行されます。
分散型のコマンド&コントロール
TONResolverは、極めて独特なサーバー管理インフラを備えています。このマルウェアは、コマンドサーバーのアドレスを直接ハードコードしていません。代わりに、TONブロックチェーンのスマートコントラクトを通じてこの重要な情報を取得します。防御側が稼働中のサーバーをブロックしても、攻撃者はスマートコントラクトを更新するだけで済みます。その結果、感染したシステムは自動的に新しいアドレスへと通信先を切り替えます。この分散型アーキテクチャにより、脅威分析は著しく複雑化します。さらに、セキュリティチームが悪意ある接続を迅速に遮断することも困難になります。
永続化とデータ窃取
初回起動後、TONResolverはWindowsのスタートアップフォルダを通じて永続化を確立します。その後、包括的なシステム情報を送信します。このペイロードには、コンピューター名、ユーザー詳細、メモリ、プロセッサ、MACアドレスが含まれます。以降、マルウェアは20秒ごとにコマンドサーバーへping通信を行い、継続的な接続を維持します。この初回実行の時点では、即座にファイル窃取が引き起こされるわけではありません。しかし、攻撃者にリモートコマンドを実行する能力を与えることになります。攻撃者は追加のペイロードをダウンロードしたり、PowerShellスクリプトを起動したりすることをシームレスに行えるようになります。
被害の拡大と対策
ある観測された攻撃シーケンスでは、悪意あるNode.jsプロセスが実行可能ファイルをダウンロードしました。この実行可能ファイルは、Google ChromeおよびMicrosoft Edgeのデータディレクトリを意図的に標的としていました。これらのフォルダには、パスワード、Cookie、閲覧履歴、ブックマークといった機密情報が保存されています。そのため、セキュリティ専門家はこの活動を組織的な認証情報窃取の試みと明確に結びつけています。
こうした深刻なリスクを軽減するため、組織は厳格なアクセス制御を導入すべきです。管理者は、厳密に必要な場合を除き、ワークステーションからTONおよびTonAPIへのアクセスを制限する必要があります。加えて、セキュリティチームは外部からのPowerShell接続を積極的にフィルタリングすべきです。ユーザーディレクトリから発生する不審なNode.js実行についても監視しなければなりません。最後に、Booking.comと提携している企業は、インシデント対応手順を徹底的に見直す必要があります。
翻訳元: https://meterpreter.org/tonresolver-malware-attacks/