Blenderのプロジェクトファイル内にStealC V2を埋め込む新たな作戦が確認されており、少なくとも6か月にわたり被害者を標的にしていた。
Morphisecによる新たなアドバイザリによれば、攻撃者はCGTraderなどのプラットフォームに改ざんされた .blend ファイルを配置し、ユーザーは通常の3Dアセットとしてそれらをダウンロードしていた。
BlenderのAuto Run機能が有効な状態で開くと、ファイルは隠されたPythonスクリプトを実行し、多段階の感染を開始した。
武器化されたBlenderアセットでStealC V2が攻撃範囲を拡大
本日公開された調査は、この活動を、以前からStealCの配布に関与していたロシア語話者の脅威アクターと結び付けている。
このキャンペーンは、Electronic Frontier Foundation(EFF)になりすましてAlbion Onlineのプレイヤーを標的にした過去の取り組みと類似しており、デコイコンテンツ、バックグラウンド実行、Pyramid C2インフラといった要素を共有している。
感染チェーンは、.blendファイル内に埋め込まれた改ざん済みのRig_Ui.pyスクリプトから始まった。このスクリプトはリモートのworkers.devドメインからローダーを取得し、そのローダーがPowerShell段階と、Pythonベースのスティーラーを含む2つのZIPアーカイブをダウンロードした。
Windowsのtempディレクトリに展開されると、マルウェアは永続化を確保するためにLNKファイルを作成し、その後Pyramid C2チャネルを用いて暗号化されたペイロードを取得した。
LNKベースのセキュリティ脅威について詳しく読む:Windowsショートカットの欠陥が11の国家支援グループに悪用される
StealC V2は2025年4月以降、地下フォーラムで宣伝されており、機能セットを急速に拡張している。現在は23種類以上のブラウザ、100以上のプラグイン、15以上のデスクトップウォレット、さらに各種メッセージング、VPN、メールクライアントを標的としている。月額200ドルから、6か月で800ドルという価格設定により、すぐに使えるツールを求める低位層のサイバー犯罪者でも利用しやすくなっている。
帰属と侵害指標
-
CGTraderでホストされていた悪意のある .blend ファイル
-
複数のworkers.devドメインを介したペイロード取得
-
Pythonスティーラーと永続化コンポーネントを含むZIPアーカイブ
-
複数のPyramid関連IPにまたがるコマンド&コントロール(C2)通信
Morphisecは、このキャンペーンを早期にブロックできたのは同社の欺瞞ベースの保護プラットフォームによるものだとしている。メモリおよびブラウザストレージにデコイの認証情報を注入することで、StealCがそれらへアクセスしようとした時点で防御が作動する。情報の持ち出しや永続化が起こる前にプロセスが終了される。
研究者らは、このアプローチにより認証情報窃取の試みが失敗へと転じ、StealC V2がエンドポイント上で足場を築くはるか前に阻止できると述べている。
翻訳元: https://www.infosecurity-magazine.com/news/russian-malware-blender-3d-files/
