金銭目的で活動するロシア系脅威アクター「UAT-11795」が、不正改造したソフトウェアを利用して認証情報や暗号資産を窃取しており、Starland RATと呼ばれる新種のバックドアを展開していることが分かりました。
この攻撃は少なくとも2025年6月から確認されており、主に米国のユーザーを標的としていますが、ドイツ、ルーマニア、ベネズエラでも被害者が確認されています。
Cisco Talosの研究者によると、この脅威アクターはMobaXterm、WebEx、Zoom、DBeaver、FaceITといった正規ソフトウェアのインストーラーを不正改造し、ペイロードを配布しているとのことです。
研究者は感染経路を確認できていないものの、悪意あるファイルはClickFix手法を使って拡散されている可能性が高いとみています。
本日公開された分析の中で、Cisco Talosは、攻撃はHTAファイルから始まり、テキストファイル(LICENSE.txt)に偽装したPythonローダーを含む不正改造済みのNSISインストーラーを取得すると説明しています。
このローダーはWindowsレジストリを改変して永続化を確立し、その後Starlandリモートアクセス型トロイの木馬(RAT)を復号して読み込みます。
起動すると、Starlandはサンドボックス環境で実行されているかどうかを確認したうえで、永続化のためにスケジュールタスクとスタートアップフォルダの項目を追加し、権限昇格を試みます。
このマルウェアは、侵害したシステム上で以下の種類のデータを探索します。
- ブラウザデータおよび暗号資産ウォレットの資産(デスクトップ用・ブラウザ拡張機能用合わせて40種類以上のウォレットに対応)
- HWID、RAM、プロセッサ、OS、コンピューター名、地域、パブリックIPアドレス、インストール済みのアンチウイルス製品などのシステム詳細情報
- ドメイン構造、ドメインコントローラー、被害者のドメイン権限を含むActive Directory情報
StarlandRATは被害者のデスクトップのスクリーンショットを撮影したり、シェルコマンドを実行したり、32ビットまたは64ビットのシェルコードを注入したり、追加のペイロード(EXE、MSI、DLL、ZIP)をダウンロードしたりすることも可能です。
確認された攻撃では、64ビットのシェルコードチェーンがCastleStealer情報窃取マルウェアを配信する一方、32ビットのチェーンはRemcosリモートアクセス型トロイの木馬(RAT)を配信します。
CastleStealerは、ブラウザの認証情報、暗号資産ウォレット情報、DiscordおよびTelegramのセッション、Steamの認証情報、ファイルシステム内のファイルを標的にします。
Remcos RATは、キーロギング、ウェブカメラおよび画面キャプチャ、音声録音、クリップボード監視、ファイル管理、リモートコマンド実行といった機能を備えています。

Cisco Talosは、このマルウェアのコマンド&コントロール(C2)通信には冗長化の仕組みが備わっており、ハードコードされたアドレスへの接続に失敗した場合、XORで暗号化されたフォールバック用ドメインを使ってPolygonのスマートコントラクトに問い合わせを行うと指摘しています。
Talosはさらに、UAT-11795が「WLDR」と呼ばれるこれまで報告されていなかったPowerShell製のC2フレームワークを使用していることも突き止めました。このフレームワークは暗号化(PBKDF2-SHA256)されたビーコン通信を用い、完全にメモリ上で動作し、ペイロードの配信を各被害者のハードウェア識別子に紐づける仕様になっています。
UAT-11795による攻撃から身を守るため、組織はCisco Talosのレポートに記載された侵害指標(IoC)を活用することが推奨されます。
ユーザーは、内容を理解していないコマンドをネット上の情報に従って実行することは避け、ソフトウェアは確認済みの公式ベンダーポータルからのみダウンロードするようにしてください。
攻撃者に先んじて、すべての防御層をテストする
セキュリティチームが記録できている攻撃成功例はわずか54%、アラートが発せられるのはたった14%にすぎません。残りは環境内を検知されないまま通過しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がSIEMやEDRのルールをどのようにテストし、脅威の検知漏れを防ぐかを解説しています。