TokyoBlackHatNews

bleepingcomputer.com 4分で読了

ロシアのハッカー、「私はロボットではありません」キャプチャで配布されるマルウェアを進化

Image

ロシア政府支援のハッカーグループ「Star Blizzard」は、ClickFixによるソーシャルエンジニアリング攻撃から始まる複雑な配布チェーンで、新たに絶えず進化するマルウェアファミリー(NoRobot、MaybeRobot)を展開し、活動を強化しています。

ColdRiver、UNC4057、Callistoとしても知られるStar Blizzard脅威グループは、研究者が分析結果を公開してから1週間も経たないうちにLostKeysマルウェアを放棄し、*Robot系の悪意あるツールをこれまでのキャンペーンよりも「より積極的に」活用しました。

5月のレポートで、Google Threat Intelligence Group(GTIG)は、

このマルウェアが諜報目的で使用されており、ハードコードされた拡張子やディレクトリのリストに基づくデータの持ち出し機能を持っていると述べています。

LostKeysマルウェアを公開した後、GTIGの研究者は、ColdRiverが完全にこれを放棄し、5日後にはNOROBOT、YESROBOT、MAYBEROBOTとして追跡される新たな悪意あるツールを展開し始めたと述べています。

GTIGによると、再編成はNOROBOTから始まりました。これは「ClickFix」攻撃を通じて配布される悪意あるDLLで、偽のCAPTCHAページを使ってターゲットを騙し、検証プロセスを装ってrundll32経由で実行させるものでした。

ハッカーは、ターゲットに「私はロボットではありません」というキャプチャチャレンジを実行させ、人間であることを証明させるために、NOROBOTマルウェアを起動するコマンドを実行させようとします。

Image
NOROBOT配布に使われたClickFixページ
出典: Google

クラウドセキュリティ企業Zscalerの研究者は9月にNOROBOTを分析し、BAITSWITCHと命名し、そのペイロードであるバックドアをSIMPLEFIXと呼びました。

GoogleはNOROBOTが5月から9月にかけて継続的に開発されてきたと述べています。

NOROBOTはレジストリの変更やスケジュールタスクによって永続化を獲得し、最初はYESROBOTというPythonベースのバックドア用にWindows向けのPython 3.8フルインストールを取得していました。

しかし、GTIGは、YESROBOTの使用期間は短かったと指摘しています。Pythonのインストールが明らかな痕跡となり注目を集めるため、ColdRiverはこれを放棄し、別のバックドアであるPowerShellスクリプトのMAYBEROBOT(ZscalerによってSIMPLEFIXと識別)に切り替えました。

6月初旬以降、「大幅に単純化された」バージョンのNOROBOTがMAYBEROBOTを配布し始めました。MAYBEROBOTは以下の3つのコマンドをサポートします:

  • 指定されたURLからペイロードをダウンロードして実行
  • コマンドプロンプト経由でコマンドを実行
  • 任意のPowerShellブロックを実行

実行後、MAYBEROBOTは結果を個別のコマンド&コントロール(C2)パスに返し、Coldriverに作戦の成功状況をフィードバックします。

Image
Coldriverの現在の攻撃チェーン
出典: Google

Googleのアナリストは、MAYBEROBOTの開発は安定してきており、脅威アクターは現在、NOROBOTをよりステルス性が高く効果的にすることに注力しているとコメントしています。

研究者は、複雑な配布チェーンから単純なもの、そして再び複雑なものへと変化し、暗号鍵を複数のコンポーネントに分割する手法に移行したことに気付きました。最終的なペイロードの復号には、これらのパーツを正しく組み合わせる必要があると研究者は述べています。

「これは、おそらく感染チェーンの再構築を困難にするために行われたものであり、ダウンロードされたコンポーネントのいずれかが欠けていると、最終ペイロードは正しく復号されない」とGTIGはレポートで指摘しています。

ColdRiverによるNOROBOTおよびその後のペイロードをターゲットに配布する攻撃は、6月から9月の間に観測されています。

ColdRiverの活動はロシアの情報機関(FSB)に帰属されています。このグループは少なくとも2017年からサイバー諜報活動に従事しています。インフラの妨害[1, 2]、制裁戦術の暴露などの妨害にもかかわらず、ColdRiverは依然として活動的かつ進化し続ける脅威です。

通常、この脅威グループはフィッシング攻撃でマルウェアを配布しますが、研究者はハッカーがClickFix攻撃に移行した理由をまだ特定できていません。

一つの説明としては、ColdRiverが以前フィッシングで侵害し、すでにメールや連絡先を盗んだターゲットに対して、NOROBOTやMAYBEROBOTのマルウェアファミリーを使用している可能性が考えられます。再度ターゲットにすることで、「デバイス上の情報から直接追加のインテリジェンス価値を得るため」だと研究者は推測しています。

Googleのレポートには、Robotマルウェア攻撃の検出に役立つ侵害の兆候(IoC)やYARAルールが掲載されています。

翻訳元: https://www.bleepingcomputer.com/news/security/russian-hackers-evolve-malware-pushed-in-i-am-not-a-robot-clickfix-attacks/

ソース: bleepingcomputer.com
#.NET malware #AI Phishing #ClickFix #COLDRIVER #cyber_espionage #FSB #MAYBEROBOT #NOROBOT #Russian_hackers #Star_Blizzard

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用