2025年8月18日Ravie Lakshmananマルウェア / 企業向けセキュリティ
Noodlophileマルウェアの背後にいる脅威アクターは、スピアフィッシングメールや最新の配信手法を活用し、米国、ヨーロッパ、バルト諸国、アジア太平洋(APAC)地域の企業を標的とした攻撃で情報窃取型マルウェアを展開しています。
「1年以上活動しているNoodlophileキャンペーンは、現在、著作権侵害通知を装った高度なスピアフィッシングメールを活用しており、特定のFacebookページIDや企業の所有情報など、偵察で得た詳細情報を用いて巧妙にカスタマイズされています」とMorphisecの研究者Shmuel Uzanは、The Hacker Newsと共有したレポートで述べています。
Noodlophileは、2025年5月にサイバーセキュリティベンダーによって詳細に解説されており、攻撃者が偽のAI(人工知能)ツールを誘い文句としてマルウェアを拡散していたことが明らかになりました。これらの偽プログラムは、Facebookなどのソーシャルメディアプラットフォームで宣伝されていました。
とはいえ、著作権侵害を装った誘い文句の採用は新しいものではありません。2024年11月にはCheck Pointが、著作権侵害違反を装って個人や組織を標的とし、Rhadamanthys Stealerを拡散する大規模なフィッシング作戦を明らかにしました。
しかし、Noodlophile攻撃の最新バージョンは、正規ソフトウェアの脆弱性の利用、Telegramを使った難読化されたステージング、動的なペイロード実行など、特に注目すべき違いを示しています。
攻撃は、従業員に特定のFacebookページでの著作権違反を主張し、緊急性を装って悪意のあるペイロードのダウンロードと実行を誘導するフィッシングメールから始まります。これらのメッセージは疑いを避けるため、Gmailアカウントから送信されています。
メッセージ内にはDropboxリンクが含まれており、そこからZIPまたはMSIインストーラーがダウンロードされます。これが、Haihaisoft PDF Readerに関連する正規バイナリを利用して悪意のあるDLLをサイドロードし、難読化されたNoodlophile stealerを最終的に起動しますが、その前にWindowsレジストリを使って永続化を確立するバッチスクリプトも実行されます。
この攻撃チェーンで注目すべき点は、Telegramグループの説明をデッドドロップリゾルバとして利用し、stealerペイロードをホストする実際のサーバー(”paste[.]rs”)を取得して、検出やテイクダウン対策を強化していることです。
「この手法は、前回のキャンペーンの技術(例:Base64エンコードされたアーカイブ、certutil.exeのようなLOLBinの悪用)を基にしていますが、Telegramベースのコマンド&コントロールやインメモリ実行による回避レイヤーを追加し、ディスクベースの検出を回避しています」とUzan氏は述べています。
Noodlophileは、ウェブブラウザからのデータ取得やシステム情報の収集が可能な本格的な情報窃取型マルウェアです。stealerのソースコード分析からは、スクリーンショットの取得、キーロギング、ファイルの持ち出し、プロセス監視、ネットワーク情報の収集、ファイルの暗号化、ブラウザ履歴の抽出など、機能拡張に向けた開発が継続されていることが示唆されています。
「ブラウザデータを広範囲に標的としていることは、このキャンペーンが特にFacebookのようなソーシャルメディア上で大きな存在感を持つ企業に焦点を当てていることを示しています」とMorphisecは述べています。「これら未実装の機能は、stealerの開発者がその能力を積極的に拡張し、より多用途で危険な脅威へと進化させようとしていることを示しています。」
翻訳元: https://thehackernews.com/2025/08/noodlophile-malware-campaign-expands.html