「Vortex Werewolf」(SkyCloakとしても知られる)として追跡されている脅威クラスターが、ロシアの政府機関および防衛関連組織を標的にしていることが確認されています。
攻撃は典型的な悪意ある添付ファイルから始まるのではなく、非常に信ぴょう性の高いフィッシングリンクから始まります。Vortex Werewolfは、正規のTelegramファイル共有リソースを装ったURLを配布します。
これらのリンクは、信頼できるファイルリポジトリに見えるよう設計されたドメイン上でホストされていることが多く、Telegramのログイン画面やファイルダウンロードの確認画面を模倣したWebページへ被害者を誘導します。
被害者がこのページを操作すると、電話番号と、Telegramアカウントに送信される確認コードの入力を求められます。
アカウントが二要素認証(2FA)で保護されている場合、ページはクラウドパスワードも要求します。この手順により攻撃者は被害者のアクティブなTelegramセッションを乗っ取り、チャットや連絡先へ不正にアクセスできるようになります。
BI.ZONE Threat Intelligenceによる新しいレポートによると、攻撃者はTelegramをテーマにしたフィッシングから始まり、安全なネットワークへの完全に永続的なTor対応リモートアクセスチャネルで終わる、多段階の感染チェーンを利用しています。
「検証」が完了すると、サイトはDropboxなどのパブリッククラウドサービス上でホストされた、Spisok na peremeshchenie.zip(「移動リスト」)のようなZIPアーカイブのダウンロードを自動的に開始します。
感染チェーン
LNKファイルがPowerShellコマンドを実行し、ツール一式を含む隠しディレクトリを展開します。
セキュリティ研究者による検知を回避するため、マルウェアは直ちに環境の偵察を行います。
最近使用したファイル数や実行中プロセス数を確認し、システムが仮想マシンまたはサンドボックス(活動量が少ないことが指標)であるように見える場合、マルウェアは自己終了します。
システムがこれらのチェックを通過すると、スクリプトはWindows タスク スケジューラにスケジュールタスクを作成して永続化を確立します。
これらのタスクにより、コンピュータが再起動された場合でもマルウェアが自動的に再起動することが保証されます。攻撃者は正規ソフトウェアのコンポーネント名を変更し、通常のシステム動作に紛れ込ませます。
Vortex WerewolfはGitHub Pagesを使用して静的なJavaScriptおよびCSSリソースをホストし、フィッシングドメインごとに専用のリポジトリを作成します。
Tor実行ファイルはphotoshopexpress.exeにリネームされ、OpenSSHサーバーはfinalcutpro.exeにリネームされ、難読化プロキシツール(obfs4proxy)はvisualstudiocode.exeに偽装されます。
技術的詳細解説:TorとSSH
Vortex Werewolfの最終的な目的は、被害者ネットワークへの秘匿された長期的アクセスを維持することです。
マルウェアはWindows向けにカスタマイズされたOpenSSHをインストールし、鍵ベース認証による接続のみを受け付けるよう設定し、パスワードログインを無効化して第三者による不正アクセスを防ぎます。
同時に、マルウェアはTorのHidden Serviceを起動します。Torネットワークを介してトラフィックをルーティングすることで、攻撃者は自身のIPアドレスや所在地を明かすことなく感染端末へ接続できます。
System Volume Information内の隠しディレクトリには、別のZIPアーカイブであるlogLength(拡張子なし)が含まれています。
logLengthの内容(出典:BI.ZONE)。重要なのは、マルウェアがobfs4ブリッジを使用してこのトラフィックを難読化し、認識可能なTorデータではなくランダムノイズのように見せかける点です。これにより、Tor接続をブロックする可能性のある標準的なネットワークファイアウォールを回避できます。
この隠しトンネルを通じて、Vortex Werewolfは重要なネットワークプロトコル、具体的にはRDP(リモート デスクトップ プロトコル)、SMB(ファイル共有)、SFTP、SSHを攻撃者に対して直接公開します。
これにより攻撃者は侵害されたシステムを完全に制御でき、ファイルの移動、コマンド実行、そして組織ネットワーク内の他のマシンへの横展開が可能になります。
Vortex Werewolfは、防衛分野を標的にすることやバックドアにSSHを用いることなど、Core Werewolfとして知られる別グループと戦術的に類似する点がいくつかありますが、脅威インテリジェンスのアナリストは現時点では両者を別個のクラスターとして扱っています。
ネットワークインフラの調査により、Vortex Werewolfは少なくとも2024年12月以降活動しており、フィッシング資産のホスティングにGitHub Pages、トラフィック管理にCloudflareを含むインフラを利用していることが明らかになっています。
侵害指標(IOC)
| # | ハッシュ値 |
|---|---|
| 1 | fc8a6cc400dd822b6f5fc40c85a547cf7f266169edddb84a90f4b3f25956318c |
| 2 | 86b1e4e48d1d4ce1acf291b21c2ffa806bca9b6cad6a6519263fa1705486eb94 |
| 3 | 8f4836cca1850053e87a769a84baed3cdde060ad3fce26f101a20b37375835f1 |
| 4 | 1cf423b7b55c2d7018262c847ba58e1955443e1d84ca0bca4f94f2a9cc5794d7 |
| 5 | 1280cca4b520bfd018296c4d1645b7c9c8c7c4608752506285dad0e251b22e32 |
| 6 | 7ccf33529389ff080c1aaea1678c9f7a3546ab950670138f8a7f35c7638578cb |
| 7 | 2a9b971c835e2ee5f190d068c602601fdaf718d8bfe085c2032d59a6f25ed082 |
翻訳元: https://gbhackers.com/vortex-werewolf/
