セキュリティ研究者は、ロシア連邦内のユーザーを標的とする高度で多段階のフィッシングキャンペーンを記録しました。この攻撃は、ランサムウェアとAmnesia RAT(Remote Access Trojan:リモートアクセス型トロイの木馬)の両方を組み込むデュアルペイロード戦略を採用しています。Fortinet FortiGuard Labsが公表した調査結果は、綿密に組み立てられた感染チェーンを明らかにしています。
侵入は、業務上のビジネス連絡を装った電子メールから始まります。被害者には、日常的で無害に見えるよう作られた「仕事関連」の文書が送られます。これらの誘導には、スクリプトやおとりファイルが含まれており、ユーザーを偽の作業や「管理部門からの指示」に気を取らせる一方で、悪意あるプロセスが背後で密かに起動されます。
このキャンペーンの顕著な特徴は、分散型の配布アーキテクチャです。耐障害性を高め、インフラのブラックリスト化を回避するため、攻撃者は異なるクラウド基盤を活用しています。スクリプトはGitHub経由で配布され、バイナリのペイロードはDropboxから取得されます。この二分化により、対処は大幅に複雑化し、攻撃インフラを一方的に解体することが困難になります。
さらにFortinetは、es3n1nとして知られる研究者が概念実証(PoC)として当初考案したツール「Defendnot」の戦略的利用を強調しています。このツールは、偽のアンチウイルスを登録することでWindows Security Centerを欺き、Microsoft Defenderが認識上の ソフトウェアの競合を避けるために自律的に無効化するよう誘導します。
悪性の成果物は、ZIPアーカイブ内に配布され、そこにはおとり文書と致命的なWindowsショートカット(LNK)ファイルが含まれています。ユーザーを欺くため、これらのファイルは二重拡張子(例:Assignment_for_Accounting_Dept.txt.lnk)を用い、無害なテキストファイルに見せかけます。実行されると、PowerShellコマンドがGitHubリポジトリから一次ローダーを取得します。このスクリプトは永続化を確立し、フォレンジック検知を回避するために環境を整え、感染の後続フェーズを統括します。
目立たないようにするため、ローダーはPowerShellのコンソールウィンドウをプログラム的に抑制しつつ、被害者には偽のテキスト文書を表示します。同時に、スクリプトはTelegram Bot APIを介してオペレーターへステータス通知を送信します。戦略的に444秒の待機を挟んだ後、強く難読化されたVisual Basic Script(SCRRC4ryuk.vbe)が実行されます。このモジュールはメモリ内オーケストレーターとして機能し、従来のディスクベースのアンチウイルススキャナーを回避するため、揮発性メモリ上で次段階の攻撃を組み立てます。
最終スクリプトは管理者権限を確認し、不足している場合は同意が得られるまでユーザーアカウント制御(UAC)プロンプトを執拗に表示し続けます。昇格後、マルウェアは包括的な防御無力化プロトコルを実行します:
-
ProgramDataやDesktopなどの重要ディレクトリに対して、Microsoft Defenderの除外設定を構成します。 -
Defendnotを展開して、システム保護を完全に無効化します。
-
環境偵察を開始し、.NETモジュールで30秒ごとにスクリーンショットを取得してTelegram経由で流出させます。
-
Windowsレジストリを変更して、診断および管理ユーティリティを無効化します。
-
ファイル関連付けを乗っ取り、特定の拡張子を開くと身代金の指示が表示されるようにします。
システム防御の解体後、Amnesia RAT(svchost.scr)がDropboxから取得されます。この包括的なスパイツールは、ブラウザー、暗号資産ウォレット、Discord、Steam、Telegramから認証情報を流出させます。また、プロセス操作、音声・映像の録音、クリップボード監視を可能にし、完全な遠隔支配を実現します。
第二のペイロードは、Hakuna Matataファミリーに由来するランサムウェア亜種です。多数のファイル種別を暗号化すると同時に、システムのクリップボードを監視して、ユーザーの暗号資産アドレスを攻撃者が管理するものへ密かに置換します。感染はWinLockerの展開で締めくくられ、ユーザーのOS操作を事実上麻痺させます。
Fortinetは、この一連の流れが固有のソフトウェア脆弱性を悪用しているのではなく、標準的なWindowsの管理機能とソーシャルエンジニアリングを武器化している点を強調しています。Defendnotの悪用を受け、MicrosoftはDefender設定を保護するために改ざん防止(Tamper Protection)を有効化し、Windows Security Center API呼び出しを厳格に監視することを推奨しています。
同時に、研究者は他の持続的脅威も特定しています。たとえば、UNG0902グループのOperation DupeHikeは、DUPERUNNERインプラントとAdaptixC2フレームワークを用いて管理部門および経理部門を標的にします。同様に、Paper Werewolf(またはGOFFEE)集団も活動しており、AI生成の誘導文とExcelのXLLアドインを利用してEchoGatherバックドアを拡散しています。総じて、これらのキャンペーンは明確な傾向を示しています。ロシア圏におけるフィッシングは、多段階ローディングのシーケンスと、正規のOS機構を高度に悪用する手口によって、ますます特徴づけられています。
