メキシコの組織は、長期にわたるキャンペーンの一環として、脅威アクターによって改変されたAllaKore RATおよびSystemBCの配布対象となり続けています。
この活動はArctic Wolf Labsによって、Greedy Spongeと呼ばれる金銭目的のハッカーグループに帰属されています。同グループは2021年初頭から活動していると考えられており、小売、農業、公共部門、エンターテインメント、製造、運輸、商業サービス、資本財、銀行など、幅広い業種を無差別に標的としています。
「AllaKore RATのペイロードは大幅に改変されており、脅威アクターが選択した銀行の認証情報や固有の認証情報をコマンド&コントロール(C2)サーバーへ送信できるようになっています。これは金融詐欺を目的としています」と、サイバーセキュリティ企業は先週公開した分析で述べています。
このキャンペーンの詳細は、BlackBerry Research and Intelligence Team(現在はArctic Wolfの一部)によって2024年1月に初めて文書化されており、攻撃ではフィッシングやドライブバイ攻撃を用いて細工されたZIPアーカイブを配布し、最終的にAllaKore RATの展開を促しています。
Arctic Wolfが分析した攻撃チェーンによると、このリモートアクセス型トロイの木馬は、SystemBCのような二次ペイロードをオプションで配信できるよう設計されています。SystemBCは、侵害されたWindowsホストをSOCKS5プロキシに変換し、攻撃者がC2サーバーと通信できるようにするC言語ベースのマルウェアです。
強力なプロキシツールの配布に加え、Greedy Spongeは2024年中頃以降、分析を妨害するためにジオフェンシング機能を強化するなど、手法の洗練・更新も行っています。
「従来は、トロイの木馬化されたMicrosoftソフトウェアインストーラー(MSI)ファイルに含まれる.NETダウンローダーによって、最初の段階でメキシコ地域へのジオフェンシングが行われていました」と同社は述べています。「現在はこれがサーバー側に移され、最終ペイロードへのアクセスが制限されています。」
最新の手口も従来と同様で、「Actualiza_Policy_v01.zip」というZIPファイルを配布し、正規のChromeプロキシ実行ファイルと、AllaKore RATをドロップするよう細工されたMSIファイルを含んでいます。AllaKore RATはキーロギング、スクリーンショット取得、ファイルのダウンロード/アップロード、リモート操作などの機能を持つマルウェアです。
このMSIファイルは.NETダウンローダーを展開するよう設定されており、これは外部サーバー(”manzisuape[.]com/amw”)からリモートアクセス型トロイの木馬を取得・実行し、さらにPowerShellスクリプトでクリーンアップ処理を行います。
AllaKore RATがラテンアメリカを標的とした攻撃に使われたのはこれが初めてではありません。2024年5月、HarfangLabとCisco Talosは、AllaSenha(別名CarnavalHeist)として知られるAllaKoreの亜種が、同国の脅威アクターによってブラジルの銀行機関を標的に使用されていることを明らかにしました。
「この4年以上にわたりメキシコの組織を積極的に標的にしてきたことから、この脅威アクターは持続的だが特に高度とは言えません」とArctic Wolfは述べています。「このアクターの純粋な金銭目的と、限定的な地理的標的は非常に特徴的です。」
「さらに、彼らの運用の長期化は、運用が成功している可能性を示しています。つまり、彼らは自分たちにとって有効な手法を見つけ、それを継続しているということです。Greedy Spongeはキャンペーン期間中、同じインフラモデルを維持しています。」
 |
| Ghost Cryptを用いたキャンペーンの攻撃フロー |
この動きは、eSentireが2025年5月に詳述したフィッシングキャンペーンとも重なります。このキャンペーンでは、新たなクライプター・アズ・ア・サービス「Ghost Crypt」を用いて、PureRATを配信・実行していました。
「初期アクセスはソーシャルエンジニアリングによって得られ、脅威アクターは新規顧客を装い、Zoho WorkDriveフォルダへのリンクを含むPDFを送信しました。そのフォルダには悪意あるzipファイルが含まれていました」とカナダ企業は指摘しています。「攻撃者は被害者に電話をかけ、ファイルをすぐに展開・実行するよう緊急性を演出しました。」
攻撃チェーンのさらなる調査により、悪意あるファイルにはGhost Cryptで暗号化されたDLLペイロードが含まれており、その後、プロセス催眠インジェクションと呼ばれる手法を使って、正規のWindows csc.exeプロセスにトロイの木馬(DLL)を抽出・注入することが判明しました。
Ghost Cryptは、2025年4月15日に同名の脅威アクターがサイバー犯罪フォーラムで初めて宣伝したもので、Microsoft Defender Antivirusを回避し、Lumma、Rhadmanthys、StealC、BlueLoader、PureLoader、DCRat、XWormなど複数のスティーラー、ローダー、トロイの木馬を配信できる能力を持っています。
この発見はまた、新バージョンのNeptune RAT(別名MasonRAT)がJavaScriptファイルを使った誘導で配布され、脅威アクターが機密データの抽出、スクリーンショットの取得、キーストロークの記録、クリッパーマルウェアの設置、追加DLLペイロードのダウンロードを可能にしていることも明らかになっています。
ここ数か月、サイバー攻撃では悪意のあるInno Setupインストーラーが使われており、Hijack Loader(別名IDAT Loader)の媒介となり、その後RedLineインフォスティーラーが配信されています。
Splunk Threat Research Teamは「この攻撃は、Inno SetupのPascalスクリプト機能を活用し、侵害または標的となったホストで次の段階のペイロードを取得・実行します」と述べています。「この手法は、D3F@ck Loaderと呼ばれる有名な悪意あるInno Setupローダーが用いる感染パターンと非常によく似ています。」
翻訳元: https://thehackernews.com/2025/07/credential-theft-and-remote-access.html