正規のリモートアクセスソフトウェアを悪用して政府機関の標的に侵入する、拡大するサイバーキャンペーンがサイバーセキュリティ研究者によって確認された。
Group-IBとUKUKが発見し、Bloody Wolfの高度持続的脅威(APT)グループが実行しているこの作戦は、従来型マルウェアから、NetSupportリモート管理ツール(RAT)を展開する、簡素化されたJavaベースの配布手法へと移行していることを示している。
両社は、2023年末に活動を開始して以降、Bloody Wolfグループが手口の改良を継続していると指摘した。
活動は当初の標的を超えて拡大
今週公開された注意喚起では、少なくとも2025年6月以降キルギスでBloody Wolfが運用している持続的なキャンペーンが確認され、その後10月初旬までにウズベキスタンへと活動範囲を広げたと報告している。
アナリストは、同グループが説得力のあるPDF文書、なりすましドメイン、そして想定される事件資料を閲覧するためにJavaをインストールするよう被害者に促す指示を通じて、同国の法務省になりすまし続けていることを観測した。誘導文書に埋め込まれた短いメッセージは、攻撃者が正当性の印象を保つのに役立っている。
リモート管理ツールに関する詳細はこちら:忘れられたリモートアクセスツールが組織をリスクにさらす理由
研究者らは、脅威インテリジェンスデータと脅威グループのインフラ分析に基づく共同調査によって得られた結果だとした。
また、ウズベキスタン側のインフラにはジオフェンシングが設定されており、国外からのアクセスは正規の政府サイトへリダイレクトする一方、国内ユーザーには悪意のあるJARのダウンロードを提供していたと述べた。
感染チェーンの仕組み
被害者がダウンロードしたJARファイルを開くと、ローダーが追加コンポーネントを取得し、最終的に遠隔操作のためのNetSupport RATをインストールする。Java 8で作成されたローダーは、単一のクラスで構成され、難読化も施されていない。小規模ながら、以下の複数の作業を自動化する:
-
HTTP経由でNetSupportのバイナリを取得
-
自動実行エントリによる永続化の追加
-
スケジュールタスクの作成
-
ユーザーの注意をそらすための偽のエラーメッセージ表示
これらのローダーには、ユーザープロファイルディレクトリに保存される起動回数制限カウンター(3に設定)も含まれており、注目を集める可能性を下げるため、一定回数実行すると停止するようになっている。
アナリストはまた、同グループがカスタムのJAR生成ツールを活用し、ダウンロードパス、レジストリエントリ、エラーメッセージを変えたサンプルを大量生成しているとも述べた。
攻撃者は以前はSTRRATを使用していたが、現在は2013年の古いNetSupport Managerのバージョンに依存しており、公開されているライセンスから入手した可能性が高い。
報告書は、ソーシャルエンジニアリングと低コストのツールを組み合わせることで、Bloody Wolfが中央アジア全域で安定した作戦テンポを維持できていると結論づけている。
「このソーシャルエンジニアリングと入手しやすいツールの組み合わせにより、Bloody Wolfは低い運用プロファイルを保ちながら有効性を維持できる。従来型マルウェアから正規のリモート管理ソフトウェアへ移行したことは、検知回避と通常のIT活動への紛れ込みを狙った戦術が継続的に進化していることを示している」 とGroup-IBは記している。
「同グループの適応力と執拗さを踏まえると、中央アジアの組織は、今後も継続が見込まれるスピアフィッシング活動と、進化する感染チェーンに対して警戒を怠らないべきだ。」
翻訳元: https://www.infosecurity-magazine.com/news/bloody-wolf-expands-central-asia/
