コンテンツにスキップするには Enter キーを押してください

米国司法省、世界的な作戦でサイバー犯罪の暗号化サービスを支援する4つのドメインを押収

投稿日 2025年5月31日

Image

多国籍の法執行作戦により、悪意のあるソフトウェアがセキュリティソフトウェアから検出されないようにするサービスを提供していたオンラインのサイバー犯罪シンジケートが摘発されました。

これに関連して、米国司法省(DoJ)は、オランダおよびフィンランド当局と協力して、2025年5月27日に暗号化サービスを提供していた4つのドメインとその関連サーバーを押収したと発表しました。これには、AvCheck[.]net、Cryptor[.]biz、およびCrypt[.]guruが含まれ、現在はすべて押収通知が表示されています。

この取り組みに参加した他の国には、フランス、ドイツ、デンマーク、ポルトガル、ウクライナが含まれます。

“暗号化は、マルウェアをアンチウイルスプログラムが検出しにくくするためにソフトウェアを使用するプロセスです。”とDoJは述べました。”押収されたドメインは、サイバー犯罪者に対してカウンターアンチウイルス(CAV)ツールを含むサービスを提供していました。CAVと暗号化サービスを組み合わせて使用することで、犯罪者はマルウェアを難読化し、検出されずにコンピュータシステムへの不正アクセスを可能にします。”

DoJは、当局がサービスを分析するためにおとり購入を行い、それらがサイバー犯罪に使用されていることを確認したと述べました。オランダ当局は、調整された発表の中で、AvCheckを世界中の悪意のある行為者が使用する最大のCAVサービスの1つであると特徴付けました

インターネットアーカイブによってキャプチャされたスナップショットによると、AvCheck[.]netは「高速アンチウイルススキャンタイムチェッカー」として自らを宣伝し、登録ユーザーが26のアンチウイルスエンジンに対してファイルをスキャンする能力を提供し、22のアンチウイルスエンジンとブロックリストでドメインとIPアドレスをスキャンすることができました。

ドメインの押収は、2024年に開始されたサイバー犯罪を解体するための継続的な世界的な取り組みである「オペレーションエンドゲーム」の一環として実施されました。これは、Lumma StealerDanaBot、およびランサムウェアを配信するために使用されたさまざまなマルウェアファミリーによる数百のドメインとサーバーの妨害後の最近数週間の4番目の主要な行動を示しています。

“サイバー犯罪者は単にマルウェアを作成するだけでなく、最大の破壊力を持たせるためにそれを完成させます。”とFBIヒューストン特別捜査官ダグラス・ウィリアムズは述べました。”カウンターアンチウイルスサービスを活用することで、悪意のある行為者は、世界で最も厳しいセキュリティシステムに対して自分たちの武器を洗練させ、ファイアウォールをすり抜け、法医学分析を回避し、被害者のシステムに大混乱を引き起こします。”

この展開は、eSentireがPureCrypterを詳細に説明した際に発生しました。これは、LummaやRhadamanthysのような情報スティーラーをClickFix初期アクセスベクターを使用して配布するマルウェア・アズ・ア・サービス(MaaS)ソリューションです。

PureCoderという名前の脅威行為者によってHackforums[.]netで販売されており、3か月で159ドル、1年で399ドル、または生涯アクセスで799ドルで提供されているこの暗号化ツールは、自動化されたTelegramチャンネル@ThePureBotを使用して配布され、PureRATやPureLogsなどの他のオファリングのマーケットプレイスとしても機能しています。

このようなツールの他の提供者と同様に、PureCoderはユーザーに対して、ソフトウェアは教育目的のみに使用されるべきであり、違反があれば即座にアクセスとシリアルキーが取り消されるという利用規約(ToS)に同意するよう求めています。

このマルウェアはまた、24H2またはそれ以降を実行しているWindowsマシンのメモリ内でNtManageHotPatch APIをパッチして、プロセスホローイングベースのコードインジェクションを再有効化する能力を組み込んでいます。これらの発見は、脅威行為者が新しいセキュリティメカニズムを打破する方法を迅速に適応し考案する方法を示しています。

“このマルウェアは、AMSIバイパス、DLLアンフック、アンチVM検出、アンチデバッグ対策、最近追加されたWindows 11 24H2セキュリティ機能をNtManageHotPatch APIパッチングを通じて回避する能力を含む複数の回避技術を採用しています。”とカナダのサイバーセキュリティ企業は述べました

“開発者は、AvCheck[.]netの結果に基づいて「完全に検出されない」(FUD)ステータスを宣伝することで欺瞞的なマーケティング戦術を使用していますが、VirusTotalは複数のAV/EDRソリューションによる検出を示しており、検出率に大きな差異があることを明らかにしています。”

翻訳元: https://thehackernews.com/2025/05/us-doj-seizes-4-domains-supporting.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です