TokyoBlackHatNews

gbhackers.com 4分で読了

Black Catハッカー集団、偽Notepad++サイトでマルウェアを配布しデータを窃取

悪名高い犯罪集団「Black Cat」によって組織された高度なサイバー攻撃キャンペーンが、CNCERTとMicrostep Onlineにより明らかになった。武器化された偽Notepad++ダウンロードサイトを通じてインターネット利用者を侵害する、連携した取り組みが判明している。

この作戦は検索エンジン最適化(SEO)手法を悪用し、無防備なユーザーをだましてマルウェア混入のソフトウェアパッケージをインストールさせ、機密データを流出させるよう設計されたバックドア型トロイの木馬を展開する。

ユーザーが主要検索エンジンで「Notepad++」を検索すると、精巧に作り込まれたフィッシングサイトが2位の検索結果として表示され、正規のダウンロードポータルを巧妙に模倣している。

この戦略的な配置は検索順位に対するユーザーの信頼を悪用し、侵害が成功する可能性を大幅に高めている。

このフィッシング基盤は高度なソーシャルエンジニアリングを示しており、チュートリアル記事や複数のダウンロード選択肢を備えた現実味のあるサイトデザインで信頼性を高めている。

攻撃者は悪性ペイロードへ直接リンクするのではなく、多段階のリダイレクト手順を用いて、GitHubのインターフェースに似せた本物らしいダウンロードページを経由させ、感染したインストーラーを配布する前にユーザーの警戒心を体系的に下げている。

暗号資産窃取の実績

Black Catグループの犯罪活動は2022年にさかのぼり、データ窃取とリモートアクセス機能に一貫して注力してきた。

Black Catギャングは、SEOアルゴリズムを操作して不正なNotepad++ダウンロードサイトを検索順位の上位に表示させることで、検索結果に対処してきた。

2023年には、暗号資産取引プラットフォームAICoinになりすました偽ダウンロードサイトを通じて、約16万ドル相当の暗号資産の窃取に成功した。

翌年には、Bingの検索結果を介して偽のChromeブラウザインストールを配布し、データ窃取型マルウェアと暗号資産マイニングプログラムの両方を侵害システムに拡散させた。

2025年6月までに、脅威アクターはQQ InternationalやiToolsなどの人気ソフトウェアアプリケーションにも標的を拡大し、国内の著名な検索エンジンを通じて配布していた。

この変化は、特定のユーザー層を狙う段階から、より広いカテゴリにわたる一般のインターネット利用者を侵害する段階へと移行しつつある同ギャングの適応力と拡大する活動範囲を示している。 

悪性のNotepad++インストーラーは、永続化と検知回避を実現するために多層的な実行チェーンを用いる。

インストール後、プログラムは正規アプリケーションではなくバックドアコンポーネントを指すデスクトップショートカットを作成する。

このバックドアはDLLサイドローディング手法を利用し、M9OLUM4P.1CCEとして保存された暗号化ファイルを介して悪性コードを実行する。これらは復号され、実行時にメモリへリフレクティブロードされる。

Image
悪性プログラムがレジストリから事前設定された構成情報を読み取る。

マルウェアは、ポート2869上のハードコードされたドメインsbido.comを通じてC2(コマンド&コントロール)基盤と通信を確立する。ドメイン登録記録によればsbido.comは2025年9月5日に登録され、DNS解決の分析から、2025年9月12日以降はBlack Catの基盤との排他的な関連が示されている。

このトロイの木馬の主な機能には、ブラウザ認証情報の窃取、キーロギング、クリップボード監視、機密ホストデータの流出が含まれる。

Image
悪性プログラムはブラウザのユーザーデータを窃取できる。

永続化を維持するため、マルウェアはレジストリベースのスタートアップエントリを作成し、攻撃者が管理するサーバーへ送信する前に盗んだデータを保存するディレクトリを作成する。

このバックドアは、Black Cat 作戦に固有のカスタム開発されたデータ窃取型トロイの木馬であり、犯罪マーケットプレイスで入手可能な汎用マルウェアとは一線を画す。

緩和策

監視データによれば、このキャンペーンの影響は甚大で、2025年12月7日〜20日の間に中国で約277,800台の侵害サーバーが検出された。

ボットネットの1日あたりの活動は、同時オンライン感染システムが62,167台でピークに達し、1日あたり最大437,700件のC2サーバー接続を発生させた。

Image
中国国内における日次ブロイラー生産量の分布。

この感染規模はキャンペーンの有効性を浮き彫りにし、防御策の緊急性を示している。

セキュリティ研究者は、ユーザーに対し、公式サイトまたは検証済みリポジトリからのみソフトウェアをダウンロードし、ハッシュ検証とウイルス対策スキャンでファイルの完全性を確認するよう推奨している。

組織は定期的なシステムスキャンを伴うエンドポイント保護ソリューションを導入すべきであり、ユーザーは不審なダウンロードリンクや不明なソフトウェア入手元に注意を払う必要がある。

ボットネット感染を検知した場合は直ちにインシデント対応手順を開始し、侵害経路のフォレンジック分析と徹底したシステム修復を実施すべきである。

Black Catギャングの継続的な活動は、検索エンジン操作とソーシャルエンジニアリングを悪用して大規模にシステムを侵害する、金銭目的のサイバー犯罪組織がもたらす持続的な脅威を浮き彫りにしている。

翻訳元: https://gbhackers.com/fake-notepad-websites/

ソース: gbhackers.com
#Black Cat(ALPHV) #C2(コマンド&コントロール) #DLLサイドローディング #SEOポイズニング #バックドア型トロイの木馬 #フィッシング #ボットネット感染 #マルウェア配布 #偽Notepad++サイト #情報窃取(クレデンシャル窃取)

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚