TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

オペレーション・エンドゲーム 3.0、主要マルウェアネットワーク3件を解体

サイバー犯罪者に人気の高い3種類のマルウェアが、11か国にまたがる大規模な法執行機関の作戦により摘発された。

これらマルウェアネットワークの解体は、「オペレーション・エンドゲーム」と呼ばれる継続的な取り組みの一環だ。最新の活動であるオペレーション・エンドゲーム 3.0は、11月10日から13日にかけて実施された。

悪名高い情報窃取型マルウェア(インフォスティーラー)であるRhadamanthys、VenomRATと呼ばれるリモートアクセス型トロイの木馬、そしてElysiumボットネットに関連するインフラはいずれも影響を受けた。

また、強制捜査の結果、以下も確認された:

  • 世界中で1025台超のサーバーが停止または機能妨害
  • 20のドメインを押収
  • 11か所を捜索(ドイツ1か所、ギリシャ1か所、オランダ9か所)
  • ギリシャでVenomRATの主要運用者とみられる人物を逮捕

「アクションデーの期間に解体されたインフラは、世界中で数十万人の被害者にマルウェア感染を引き起こしていた」と、欧州刑事警察機構(Europol)は11月13日に公開した声明で述べた。

この作戦には、EU加盟6か国、オーストラリア、カナダ、英国、米国の法執行機関が参加し、Europol、Eurojust、およびサイバーセキュリティ業界の民間パートナー30社超が協力した。取り組みは、オランダ・ハーグにあるEuropol本部から調整された。

Rhadamanthys、VenomRAT、Elysiumのテイクダウン

11月13日に公開されたShadowserver Foundationの声明によると、Rhadamanthysのインフォスティーラーは「オペレーション・エンドゲーム『シーズン2』がインフォスティーラーの状況を混乱させて以降、主要なインフォスティーラーの一つへと成長していた」という。

この声明で、英国政府の資金提供を受ける非営利団体は、2025年3月から11月にかけてRhadamanthysのインフォスティーラーマルウェアに感染したデバイスについて、175か国の201の国家コンピュータセキュリティ・インシデント対応チーム(CSIRT)および世界中の1万を超えるネットワーク所有者に対し通知を送付したと発表した。

Rhadamanthys infections per country (logarithmic scale). Source: The Shadowserver Foundation
国別のRhadamanthys感染数(対数スケール)。出典:The Shadowserver Foundation

Europolの発表では、「このインフォスティーラーの背後にいる主要容疑者は、被害者の10万件超の暗号資産ウォレットにアクセスでき、潜在的に数百万ユーロ相当の価値がある可能性がある」と指摘している。

Europolの発表には、オペレーション・エンドゲームのウェブサイト上で公開されたRhadamanthysに関する新しい動画も添えられており、タイトルはS03E01「STICKY FINGERS」だ。

2020年6月に初めて発見されたVenomRATは、Quasarリモートアクセス型トロイの木馬(QuasarRAT)を改変した派生版である。

VenomRATは、月額150ドルでコンピュータにリモートアクセスするための有効なツールとして宣伝されてきた。一般的には、スパムメールの悪意ある添付ファイルとして配布される。

インストールされると、VenomRATは難読化されたMicrosoft Officeのマクロスクリプトを用いて悪意あるファイルをダウンロードし、その後ライブラリの関数を実行し、さらにPowerShellスクリプトを使って追加の動作を行う。

「解体されたマルウェアインフラは、Rhadamanthys、VenomRAT、Elysiumボットネットを包含しており、数百万件の窃取された認証情報を含む数十万台の感染コンピュータで構成されていた」とEuropolは述べた。

「多くの被害者は、自身のシステムが感染していることに気づいていなかった。」潜在的な被害者は、オランダ警察のCheckYourHackサイトおよびHave I Been Pwnedポータルにアクセスすることで、自分のシステムが感染しているか確認できる。

オペレーション・エンドゲーム 3.0:サイバー犯罪を可能にする産業への3度目の打撃

今回の最新作戦は、オペレーション・エンドゲーム 1.0(2024年5月)およびオペレーション・エンドゲーム 2.0(2025年4月)に続く、サイバー犯罪を可能にするインフラに対する3回目の一連のテイクダウンである。

この新たな一連の作戦には、オーストラリア、カナダ、デンマーク、フランス、ドイツ、ギリシャ、米国から100人を超える法執行官が参加した。

Europolの指揮所は、押収されたサーバーや容疑者に関する情報、ならびに押収データの移送に関する情報共有を促進した。

Eurojustも、欧州逮捕状および欧州捜査命令の執行を支援した。

民間セクターパートナーには、Abuse.ch、Bitdefender、Crowdstrike、Cryptolaemus、Cymru、オランダ脆弱性開示研究所(DIVD)、HaveIBeenPwned、Lumen、Proofpoint、Shadowserver Foundationおよび同団体のRegistrar of Last Resort(RoLR)、Spamhaus、Spycloudが含まれる。

翻訳元: https://www.infosecurity-magazine.com/news/operation-endgame-3-dismantles/

ソース: infosecurity-magazine.com
#Elysiumボットネット #Europol #Operation Endgame 3.0 #Rhadamanthys #VenomRAT #インフォスティーラー #サイバー犯罪インフラのテイクダウン #マルウェア摘発 #リモートアクセス型トロイの木馬(RAT) #国際捜査協力

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新