サイバー犯罪者が小規模な思考を捨て、Fortune 500企業のように考え始めたとき、何が起きるのでしょうか。答えがGreedyBearです。産業規模の暗号資産窃取を新たな次元へと押し上げた攻撃グループです。
武器化されたFirefoxエクステンション150本。悪意あるEXEファイル約500件。数十件のフィッシングサイト。そして一つに統合された攻撃インフラ。ユーザー報告によれば、被害総額は100万ドル超にのぼります。
多くのグループが一つの手口に絞る中——ブラウザ拡張機能に特化するグループ、ランサムウェアに注力するグループ、詐欺フィッシングサイトを運営するグループ——GreedyBearは「三つすべてやればいい」と考えました。そして、それは見事に機能しました。
手口1:悪意あるFirefoxエクステンション(150本以上)
このグループはFirefoxマーケットプレイスに150本以上の悪意あるエクステンションを公開しており、MetaMask、TronLink、Exodus、Rabby Walletなど人気の暗号資産ウォレットを装うよう設計されています。
この脅威アクターは、私たちがエクステンション・ハロウイング(Extension Hollowing)と呼ぶ手法を用いて、マーケットプレイスのセキュリティ審査とユーザーの信頼機構を突破します。初回審査をすり抜けようとする代わりに、まず正規に見えるエクステンションのポートフォリオを構築し、誰も見ていないタイミングで後から武器化するのです。
具体的な手順は以下のとおりです:
- パブリッシャーアカウント作成:マーケットプレイスに新規パブリッシャーアカウントを開設
- 汎用エクステンションのアップロード:リンク浄化ツールやYouTubeダウンローダーなど、実質的な機能を持たない無害に見える汎用エクステンションを5〜7本投稿
- 信頼構築:これらの汎用エクステンションに対して数十件の偽の高評価レビューを投稿し、信用を醸成
- 武器化:信頼を確立した後、エクステンションを「ハロウアウト(hollow out)」——名前とアイコンを変更し、高評価のレビュー履歴はそのままに悪意あるコードを注入
この手法により、GreedyBearは初回審査では正規のエクステンションとして振る舞い、ユーザーの信頼と高評価を既に獲得した既存エクステンションを後から武器化することで、マーケットプレイスのセキュリティを巧みに回避します。
武器化されたエクステンションは、エクステンション自身のポップアップ画面内でユーザーが入力したウォレットの認証情報を直接窃取し、グループが管理するリモートサーバーへ送信します。初期化時には、追跡やターゲティング目的とみられる被害者の外部IPアドレスも送信します。
今回のキャンペーンは、私たちが以前報告した悪意あるエクステンション40本を露にしたFoxy Walletキャンペーンと同一の脅威グループによるものです。しかしその規模は今や2倍以上に拡大しており、当初は限定的だった取り組みが本格的な大規模作戦へと進化したことが確認されています。
手口2:悪意あるEXEファイル(約500サンプル)
同一インフラに紐付く悪意あるWindowsの実行ファイル約500件が、VirusTotalを通じて確認されました。これらの.exeサンプルは複数のマルウェアファミリーにまたがっており、以下のものが含まれます:
- グループのウォレット窃取という目的に合致するLummaStealerをはじめとする認証情報窃取ツール
- ファイルを暗号化して仮想通貨による身代金を要求する、Luca Stealerに類似するファミリーも含むランサムウェアの亜種
- ローダー機能やモジュール型配布の可能性を示唆する、多様な汎用トロイの木馬
悪意ある実行ファイルのほとんどは、クラック済み・海賊版・「リパック」ソフトウェアを配布するさまざまなロシア系サイトを通じて配布されています。
この多様性は、グループが単一のツールセットを使用するのではなく、状況に応じて戦術を切り替えられる広範なマルウェア配布パイプラインを運用していることを示しています。
これらのバイナリとブラウザエクステンション間でインフラが共有されていることは、一元化されたバックエンドの存在を示しており、すべての要素が同一の脅威グループによって運営される統制されたキャンペーンの一部であることを裏付けています。
手口3:暗号資産製品・サービスを装った詐欺サイト
マルウェアやエクステンションに加えて、この脅威グループは暗号資産関連の製品・サービスを装った詐欺サイトのネットワークも展開しています。これらはログインポータルを模した典型的なフィッシングページではなく、デジタルウォレット、ハードウェアデバイス、ウォレット修理サービスを宣伝する洗練された偽製品ランディングページとして見せかけています。
具体的な例としては、以下のものが挙げられます:
- 架空のUIモックアップを用いたJupiterブランドのハードウェアウォレット
- Trezorデバイスの修理を謳うウォレット修理サービス
デザインはさまざまですが、目的はいずれも同じです——個人情報、ウォレットの認証情報、支払い情報の入力をユーザーに促して騙し取ることであり、認証情報の窃取やクレジットカード詐欺、あるいはその両方につながる可能性があります。
これらのドメインの中には現在も稼働・完全に機能しているものがある一方、将来の活性化や標的型詐欺に向けて準備段階にあるものもあります。
すべてを支配する一台のサーバー
このキャンペーンで特筆すべき点の一つが、インフラの集約です:
エクステンション、EXEペイロード、フィッシングサイトにまたがるほぼすべてのドメインが、単一のIPアドレスに解決されます:
このサーバーはコマンド&コントロール(C2)、認証情報収集、ランサムウェアの調整、詐欺サイトの中枢ハブとして機能しており、攻撃者は複数のチャネルにまたがる活動を効率よく統括しています。
「Foxy Wallet」からグローバルな脅威へ
このキャンペーンの起源は、私たちが最初に40本の悪意あるFirefoxエクステンションを暴いたFoxy Walletレポートにまでさかのぼります。当時は少数の不正アドオンのかたまりに見えましたが、今回の新たな調査で明らかになりました——Foxy Walletはほんの始まりに過ぎなかったのです。
それ以降、キャンペーンは進化を遂げました。今や異なるのは規模と範囲です。数百件のマルウェアサンプルと詐欺インフラを背景に、マルチプラットフォームの認証情報・資産窃取キャンペーンへと発展しています。
Firefox以外への拡大の兆候
数カ月前、私たちのチームは現在のFirefoxキャンペーンと同一の認証情報窃取ロジックを使用した「Filecoin Wallet」という悪意あるChrome拡張機能を発見しました。当時は孤立した事例に見えましたが、今では同一サーバー(185.208.156.66)上にホストされたドメインと通信していたことを確認しています。
この関連性は、脅威グループがFirefoxに限定されておらず、他のマーケットプレイスでも並行した作戦をテストまたは準備していることを強く示唆しています。
このキャンペーンがChrome、Edge、その他のブラウザエコシステムへと拡大するのは時間の問題です。
AIを活用したサイバー犯罪の規模拡大
私たちはこれまで無数のサイバー犯罪キャンペーンを追跡してきましたが、今目にしているものは次元が異なります。最新のAIツールの台頭により、GreedyBearのような攻撃の量・速度・複雑さは前例のないペースで増大しています。
キャンペーンのコードを分析したところ、AIが生成したアーティファクトの明確な痕跡が確認されました。これにより、攻撃者が活動を拡大し、ペイロードを多様化し、検出を回避することはかつてないほど迅速かつ容易になっています。
これは一時的なトレンドではなく、新たな常態です。攻撃者がますます強力なAIで武装するにつれ、防御側も同様に高度なセキュリティツールと脅威インテリジェンスで対抗しなければなりません。軍拡競争はすでに始まっており、旧来のソリューションでは通用しません。
調査にご協力いただいたStarkWareのLotem Khahana氏に感謝申し上げます。
本レポートはKoi Securityのリサーチチームが、より安全なオープンソースエコシステムへの期待と、適度な警戒心を持って執筆しました。
驚くことに、私たちがこれらすべてを最初に発見したのは、MITREが最新カテゴリ「IDEエクステンション」を導入したわずか数日後のことでした。この分野のセキュリティ確保の重要性をさらに際立たせる結果となっています。
長い間、最高権限で実行されることの多い信頼されていないサードパーティコードの使用は、企業にとっても攻撃者にとっても見過ごされてきました。しかしその時代は終わりを迎えています。潮目が変わりつつあります。
私たちはこの瞬間に応えるためにKoiを構築しました——実務担当者と企業の双方のために。私たちのプラットフォームは、Chrome Web Store、VSCode、Hugging Face、Homebrew、GitHubなどのマーケットプレイスからチームが取得するすべてのものを発見・評価・管理する支援をします。
Fortune 50の企業、金融機関(BFSI)、世界最大規模のテクノロジー企業に信頼されているKoiは、この広大な攻撃対象領域全体にわたる可視化、ガバナンスの確立、リスクの積極的な低減に必要なセキュリティプロセスを自動化します。
私たちのソリューションに興味をお持ちの方、または行動を起こす準備ができている方は、デモをご予約いただくか、こちらからお問い合わせください 🤙
近日中にさらなるサプライズをご用意しています。どうぞお楽しみに。
IOC(侵害指標)
- 185.208.156.66
- 185.39.206.135
ドメイン:
FirefoxエクステンションID:
ChromeエクステンションID:
plbdecidfccdnfalpnbjdilfcmjichdk
実行ファイル:
完全なリストはこちらをご覧ください
翻訳元: https://www.koi.ai/blog/greedybear-650-attack-tools-one-coordinated-campaign