かつてTAG-150として知られていたサイバー犯罪グループGrayBravoは、高度な技術的洗練度、運用上の柔軟性、そしてインフラを拡張する能力を示しながら、急速な進化を続けている。Recorded Futureによる新たな調査では、多機能マルウェアであるCastleLoaderを中心に構築された4つの独立した悪意ある活動クラスターが特定されており、GrayBravoがサブスクリプション型のマルウェア・アズ・ア・サービス(MaaS)モデルで運営されているという評価を裏付けている。
そのうちの1つのクラスターはTAG-160として追跡されており、主に物流企業を標的としている。攻撃者は著名な運送業者を装い、ClickFix手法で作成した偽造文書やリンクを用いたフィッシングキャンペーンを展開する。
被害者は、England Logisticsなどの企業から送信されたかのように装ったメッセージを受信し、運賃を確認するためにリンクを開くよう促される。そのリンクを辿ると偽のページに誘導され、ユーザーに一連の操作を行うよう指示し、その結果としてマルウェアが密かにダウンロード・実行される。CastleLoaderに加え、これらの攻撃で観測されたペイロードには、HijackLoader、Rhadamanthys、zgRATが含まれる。
信頼性を高めるため、オペレーターは、かつて正当な企業に関連付けられていた侵害済みアカウントやドメインを悪用する。また、DAT Freight & AnalyticsやLoadlink Technologiesといった物流プラットフォーム上に偽のプロフィールを作成し、潜在的な被害者の連絡先情報を収集したり、実在の物流データに基づくフィッシング誘引を作成したり、さらには悪意あるリンクを埋め込んだ架空の貨物案件を掲載したりする可能性もある。
2つ目のクラスターであるTAG-161は、広く知られたBooking.comブランドを悪用している。これらのキャンペーンはCastleLoaderを配布するだけでなく、追加の悪意あるコンポーネントを取得するためのローダーであるMatanbuchusマルウェアも展開する。このクラスターのインフラは攻撃者が直接管理しており、大量フィッシング配信やリダイレクト生成のための独自ツールを含んでいる。これらのシステムにより、侵害されたSMTPサーバーからメールを送信し、被害者を正規の宿泊予約サービスを装った感染サイトへ誘導することが可能になっている。
アンダーグラウンドフォーラムのユーザーの関与は、調査にさらなる深みを与えている。「Sparja」という別名は、CastleLoaderとの関係があるとみられている。アナリストは、標準的な識別子の代わりにSparjaという名前が表示されたマルウェアのコントロールパネルを確認した。この人物は以前からローダー開発に関心を示し、違法コミュニティ内で防御回避技術について議論していた。こうした活動のタイミングはCastleLoaderの出現と密接に一致しており、その開発または流通への関与が示唆される。
GrayBravoの活動は単発のキャンペーンにとどまらず、その範囲を拡大し続けている。CastleLoaderはフィッシングメール経由だけでなく、正規サービスを模倣したなりすましサイト上でホストされた偽のソフトウェアアップデートを通じても配布されている。ある事例では、攻撃者はZabbix管理プラットフォームのダウンロードを装い、NetSupport RATを配布していた。
サービス提供を宣伝する公的な広告は確認されていないものの、CastleLoaderの一貫した使用、二次ペイロードの多様性、専用の管理パネルの存在は、サービスベースの運用モデルであることを強く示している。コントロールパネルやコマンドサーバーを含むインフラコンポーネントの大半は、閉じたエコシステム内のみで通信しており、アクセスは限られた数の外部関係者、すなわちパートナーやテナントとみられる者にのみ付与されている。
米国で確認された感染や教育機関に関連する活動は、被害者の地理的な広がりと、攻撃者の戦術の適応力の両方を浮き彫りにしている。ケースによっては、被害者がキャンパスのWi-Fiネットワーク経由で悪意あるインフラに接続していたとみられ、侵害規模を正確に把握することを難しくしている。
CastleLoaderの採用が進み、新たな悪意あるツールが統合されるにつれ、GrayBravoはサイバー犯罪のエコシステム内でさらに地位を固める態勢にある。同グループは、配信メカニズム、防御回避技術、コマンド&コントロール機能を継続的に洗練させており、長期的かつ一層高度な作戦を遂行しうる能力を強く示している。
翻訳元: https://meterpreter.org/castleloader-phaas-graybravo-escalates-attacks-on-logistics-booking-com/
