TokyoBlackHatNews

koi.ai 8分で読了

GreedyBear:650の攻撃ツール、1つの連携キャンペーン

サイバー犯罪者が小さく考えるのをやめ、フォーチュン500企業のように考え始めたら何が起きるでしょうか? それがGreedyBearです。産業規模の暗号資産窃取を再定義した攻撃グループです。

武器化されたFirefox拡張機能150本。悪意ある実行ファイル約500本。フィッシングサイト数十件。1つに統合された攻撃インフラ。ユーザー報告によれば、盗難額は100万ドル超

多くのグループは「得意分野」を選びます。たとえばブラウザ拡張機能に特化する、ランサムウェアに集中する、詐欺フィッシングサイトを運営する——しかしGreedyBearは「3つ全部やればいいじゃないか」と言わんばかりでした。そしてそれは、見事に成功しました。

手法1:悪意あるFirefox拡張機能(150本以上)

このグループは、Firefoxマーケットプレイスに150本以上の悪意ある拡張機能を公開しており、それぞれがMetaMask、TronLink、Exodus、Rabby Walletといった人気の暗号資産ウォレットになりすますよう設計されています。

KoidexリスクエンジンによるExodus Walletのリスクレポート

脅威アクターは、マーケットプレイスのセキュリティやユーザーの信頼メカニズムを回避するため、私たちがExtension Hollowingと呼ぶ手法を用いています。初回審査をすり抜けるために悪性拡張を紛れ込ませるのではなく、まず正規に見える拡張のポートフォリオを作り、誰も見ていないタイミングで後から武器化します。

プロセスは次のとおりです:

  • パブリッシャー作成:マーケットプレイスで新しいパブリッシャーアカウントを作成
  • 汎用アップロード:リンクサニタイザー、YouTubeダウンローダーなど、実機能のない一見無害な拡張を5〜7本アップロード
  • 信頼の構築:これら汎用拡張に対して偽の好意的レビューを数十件投稿し、信頼性を作る
  • 武器化:信頼を確立した後、拡張を「空洞化」——名称やアイコンを変更し、悪意あるコードを注入しつつ、好意的レビュー履歴は維持

この手法により、初回審査では正規に見せかけてマーケットプレイスのセキュリティを回避し、すでにユーザーの信頼と高評価を得ている拡張を後から武器化できます。

武器化前に攻撃者がアップロードした汎用拡張

武器化された拡張は、拡張自身のポップアップUI内のユーザー入力フィールドからウォレット認証情報を直接取得し、グループが管理するリモートサーバーへ送信(流出)します。初期化時には被害者の外部IPアドレスも送信しており、追跡や標的化目的である可能性が高いです。

悪意あるコードのスニペット

このキャンペーンは、以前私たちが報告したFoxy Walletキャンペーン(悪意ある拡張40本を暴露)と同じ脅威グループに由来します。しかし規模は現在2倍以上に拡大しており、当初の集中的な取り組みが本格的なオペレーションへ進化したことが確認されました。

GreedyBearの被害者の1人からの報告

手法2:悪意あるEXE(約500サンプル)

同一インフラに紐づく約500悪意あるWindows実行ファイルがVirusTotal経由で特定されています。これらの.exeサンプルは複数のマルウェアファミリーにまたがり、たとえば以下を含みます:

  • LummaStealerのような認証情報窃取型で、グループのウォレット重視の目的と整合します。
  • Luca Stealerのようなファミリーに類似するものもあるランサムウェア亜種で、ファイルを暗号化し暗号資産での支払いを要求します。
  • さまざまな汎用トロイの木馬で、ローダー機能やモジュール式配信の可能性を示唆します。

悪意ある実行ファイルの多くは、クラック版・海賊版・「リパック」ソフトを配布する複数のロシア系サイトを通じて配布されています。

rsload.netにあるトロイの木馬のダウンロードページの一例

この多様性は、グループが単一のツールセットを展開しているのではなく、必要に応じて戦術を切り替えられる広範なマルウェア配布パイプラインを運用していることを示します。

これらのバイナリとブラウザ拡張の間でインフラが再利用されている点は、集中管理されたバックエンドの存在を示し、すべての要素が同一脅威グループによる連携キャンペーンの一部であることを裏付けます。

手法3:暗号資産製品・サービスを装う詐欺サイト

マルウェアや拡張に加え、この脅威グループは暗号資産関連の製品・サービスを装う詐欺サイトのネットワークも立ち上げています。ログインポータルを模倣する典型的なフィッシングページではなく、デジタルウォレット、ハードウェアデバイス、ウォレット修理サービスなどを宣伝する洗練された偽の製品ランディングページとして作られています。

例:

  • Jupiterブランドのハードウェアウォレット(捏造されたUIモックアップ付き)
jup.co.com.trezor-wallet.io , jupiterwallet.co.com.trezor-wallet.io
  • Trezorデバイスを修理すると主張するウォレット修理サービス
secure-wallets.co.com

これらのサイトはデザインこそ異なるものの、目的は同じに見えます。すなわち、個人情報、ウォレット認証情報、または支払い情報を入力させてユーザーを欺くこと——その結果、認証情報の窃取クレジットカード詐欺、あるいはその両方につながる可能性があります。

これらのドメインの一部は稼働中で完全に機能している一方、別のものは将来の有効化や標的型詐欺に向けて準備されている可能性があります。

すべてを支配する1台のサーバー

このキャンペーンの際立った特徴の1つは、インフラの集約です:

拡張、EXEペイロード、フィッシングサイトにまたがるほぼすべてのドメインが、単一のIPアドレスに解決されます:

185.208.156.66

185.208.156.66の接続グラフ

このサーバーは、コマンド&コントロール(C2)の中枢、認証情報の収集、ランサムウェアの調整、詐欺サイトの運用のための中央ハブとして機能し、攻撃者が複数チャネルにまたがる運用を効率化できるようにしています。

「Foxy Wallet」から世界的脅威へ

このキャンペーンの起点は、私たちのFoxy Walletレポートにまで遡れます。これは当初、悪意あるFirefox拡張40本を暴露したもので、その時点では小規模な不正アドオンの集まりに見えました。しかし今回の新たな調査で明らかになったのは、Foxy Walletは始まりに過ぎなかったということです。

その後キャンペーンは進化しました。いまの違いは規模と範囲です。数百のマルウェアサンプルと詐欺インフラに支えられた、マルチプラットフォームの認証情報・資産窃取キャンペーンへと発展しています。

Firefoxを超えた拡大の兆候

数か月前、私たちのチームは「Filecoin Wallet」という悪意あるChrome拡張を発見しました。そこでは、現在のFirefoxキャンペーンで見られるものと同じ認証情報窃取ロジックが使われていました。当時は孤立した事例に見えましたが、いまでは、その拡張が同じサーバー185.208.156.66)上にホストされたドメインと通信していたことを確認しています。

この関連性は、脅威グループがFirefox専用ではないこと、そして他のマーケットプレイスでも並行オペレーションをテストまたは準備している可能性が高いことを強く示唆します。

このキャンペーンがChrome、Edge、その他のブラウザエコシステムへ拡大するのは時間の問題です。

AIで拡大するサイバー犯罪

私たちは長年にわたり数え切れないほどのサイバー犯罪キャンペーンを追跡してきましたが、いま見えているものは異質です。最新のAIツールの台頭により、GreedyBearのような攻撃の量、速度、複雑さが、前例のないペースで増大しています。

キャンペーンのコード分析では、AI生成由来の痕跡が明確に見られます。これにより攻撃者は、オペレーションの拡大、ペイロードの多様化、検知回避を、これまでになく迅速かつ容易に行えるようになっています。

これは一過性のトレンドではなく、新しい常態です。攻撃者がますます高性能なAIで武装する中、防御側も同等に高度なセキュリティツールとインテリジェンスで対応しなければなりません。軍拡競争はすでに始まっており、従来型ソリューションでは太刀打ちできません。

調査に協力してくれたStarkWareのLotem Khahanaに感謝します。

本稿は、Koi Securityのリサーチチームが、適度なパラノイアと、より安全なオープンソースエコシステムへの希望を込めて執筆しました。

驚くべきことに、MITREが最新カテゴリとしてIDE Extensionsを導入してから、わずか数日後に私たちは当初の調査でこれらを明らかにしました。これは、この領域を保護する重要性をさらに強調しています。

長らく、信頼できないサードパーティコード(しばしば最高権限で実行される)の利用は、企業側にも攻撃者側にも見過ごされてきました。その時代は終わりつつあります。潮目が変わっています。

私たちはこの瞬間に応えるためにKoiを構築しました。実務者にも企業にも。私たちのプラットフォームは、Chrome Web Store、VSCode、Hugging Face、Homebrew、GitHubなど、チームがマーケットプレイスから取得するあらゆるものを発見・評価・ガバナンスするのに役立ちます。

フォーチュン50企業、BFSI、そして世界最大級のテック企業の一部に信頼されているKoiは、この広大な攻撃対象領域において可視性の獲得、ガバナンスの確立、リスクの能動的な低減に必要なセキュリティプロセスを自動化します。

私たちのソリューションに興味がある方、または今すぐ行動したい方は、デモを予約するか、こちらからご連絡ください 🤙

近いうちにさらに驚きの発表も控えています。続報をお待ちください。

IOCs

  • 185.208.156.66
  • 185.39.206.135

ドメイン:

Firefox拡張ID:

Chrome拡張ID:

plbdecidfccdnfalpnbjdilfcmjichdk

実行ファイル:

全リストはこちらをご覧ください

翻訳元: https://www.koi.ai/blog/greedybear-650-attack-tools-one-coordinated-campaign

ソース: koi.ai
#C2インフラ #Extension Hollowing #Firefoxアドオン #GreedyBear #フィッシング詐欺サイト #マルウェア配布 #ランサムウェア #悪性ブラウザ拡張機能 #暗号資産盗難 #認証情報窃取

関連記事

Claudeがサイバー兵器となるときAI軍拡競争が始まった

野生の最初の悪意あるMCP:あなたのメールを盗んでいるPostmarkバックドア

目に見えないコードを使用した初の自己増殖ワーム、OpenVSXマーケットプレイスを襲う