ロシア系ハッカーグループColdriverが新たなマルウェアセットを展開していることが、Google脅威インテリジェンスグループ(GTIG)の研究者によって確認されました。
このマルウェアセットは、配信チェーンで繋がれた複数のファミリーで構成されており、2025年5月に公表された後、Coldriverの以前の主要マルウェア「LostKeys」に取って代わったようだと、GTIGのレポート(10月20日公開)は述べています。
研究者によると、この新しいセットは、これまでこのグループに帰属されたどのマルウェアキャンペーンよりも積極的に使用されているとのことです。
これは、Coldriverの開発および運用のペースが急速に加速していることを示しているとGTIGは指摘しています。
Coldriverの過去のキャンペーン
Coldriver(別名Star Blizzard、Callisto、UNC4057)は、ロシアの情報機関FSBと関連があるとされる脅威グループです。
少なくとも2017年から活動しており、著名なNGO、元情報機関・軍関係者、NATO加盟国政府を標的とした認証情報フィッシングキャンペーンに注力していることで知られています。
2023年12月、英国国家サイバーセキュリティセンター(NCSC)は、このグループが英国の政治や民主的プロセスへの干渉を狙った持続的なサイバーキャンペーンの背後にいると発表しました。
2024年1月、Googleはこのグループが認証情報のフィッシングを超えて、標的から機密情報を窃取できるマルウェアを配信していることを確認しました。
2025年5月、GTIGはColdriverが同年1月から3月にかけて悪意あるキャンペーンでLostKeysと呼ばれる新しいマルウェア亜種を使用していたことを検知しました。
この新しい亜種は、公開以降は観測されていないと、GTIGは10月20日の新しいレポートで述べています。
ColdriverのNoRobot、YesRobot、MaybeRobotの内部
その代わりに、ColdriverはGoogleによってNoRobot、YesRobot、MaybeRobotとして追跡されている新たなマルウェアファミリー群に移行したようです。
攻撃は「ClickFix型」フィッシング誘導から始まり、偽CAPTCHAページで被害者に「ロボットではない」ことを確認させるよう仕向けます。この誘導はGoogleによってColCopyと追跡されています。
ページはユーザーに、正規のWindowsツールであるrundll32.exeを介して悪意あるダイナミックリンクライブラリ(DLL)—NoRobotとして追跡—のダウンロードと実行を促します。DLLのエクスポート関数(humanCheck)はCAPTCHA詐欺を強化するために名付けられています。
これは従来のPowerShellに依存した手法に代わるもので、スクリプトベースの実行を監視するセキュリティツールによる検知を困難にしています。
実行されると、NoRobot DLLはダウンローダーとして機能します。初期バージョンは分割鍵暗号方式を使用し、復号鍵の一部をダウンロードファイルやWindowsレジストリ(例:HKEY_CURRENT_USER\SOFTWARE\Classes\.pietas)に隠していました。これにより、いずれかの要素が欠けると復号ができなくなり、解析が困難になります。
NoRobotはその後、自己解凍型のPython 3.8インストーラー、2つの暗号化されたPythonスクリプト(libsystemhealthcheck.pyとlibcryptopydatasize.py)を悪意あるドメイン(inspectguarantee[.]org)から取得し、マルウェアが再起動後も生き残るようスケジュールタスクを作成します。
これらのPythonスクリプトは組み合わされ、ハードコードされたC2(コマンド&コントロール)サーバーとHTTPSで通信する最小限のPythonベースの第一段階バックドア(YesRobotとして追跡)を復号・起動します。
GTIGは、ColdriverがYesRobotをわずか2週間で放棄したと指摘しており、その理由はPythonインストールのため煩雑で検知されやすかったためとみられます。
研究者は、YesRobotはグループの以前のマルウェア「LostKeys」が露見した後の一時的なつなぎだったと示唆しています。
2025年6月頃、ColdriverはMaybeRobotへと切り替えました。これはより柔軟なPowerShellベースのバックドアで、Pythonスクリプトは不要です。
この新バージョンでは、NoRobotは単一のログオンスクリプトを取得するだけに簡素化され、ユーザーのログインスクリプトにPowerShellコマンドを追加してMaybeRobotを永続化させます。
MaybeRobotは3つの主要コマンドを持つカスタムC2プロトコルを使用します:
- URLからファイルをダウンロードして実行
- cmd.exe経由でコマンドを実行
- PowerShellブロックを実行
YesRobotとは異なり、MaybeRobotの設計は拡張性があり、オペレーターが動的に複雑なコマンドを送信できますが、バックドア自体には自動データ窃取などの組み込み機能はまだありません。
Coldriver、NoRobot感染チェーンを「騒がしい」と「ステルス」で切り替え
2025年6月から9月にかけて、ColdriverはNoRobotを進化させ、簡素化された感染チェーンと複雑な感染チェーンを交互に用いることで、解析を妨げつつMaybeRobot PowerShellバックドアの確実な配信を実現しました。
インフラやファイル名、エクスポート関数のローテーションなど、小規模ながら頻繁な変更はColdriverの適応力のある手口を示しており、防御側は攻撃を完全に再現するために複数のコンポーネントを捕捉する必要があります。
GTIGのレポートは、NoRobotをBaitSwitch、MaybeRobotをSimpleFixとして追跡した2025年9月のZscalerレポートを基にしています。
翻訳元: https://www.infosecurity-magazine.com/news/russian-coldriver-hackers-new/
