TA558として知られる脅威アクターが、Venom RATなどのリモートアクセス型トロイの木馬(RAT)を配布し、ブラジルおよびスペイン語圏市場のホテルを侵害する新たな攻撃に関与していることが判明しました。
ロシアのサイバーセキュリティベンダーであるKasperskyは、2025年夏に観測されたこの活動をRevengeHotelsというクラスターとして追跡しています。
「脅威アクターは引き続き、請求書を装ったフィッシングメールを用いて、JavaScriptローダーやPowerShellダウンローダー経由でVenom RATインプラントを配布しています」と同社は述べています。「本キャンペーンの初期感染およびダウンローダーコードの多くは、大規模言語モデル(LLM)エージェントによって生成されたものと思われます。」
この調査結果は、サイバー犯罪グループが人工知能(AI)を活用して攻撃手法を強化するという新たなトレンドを示しています。
少なくとも2015年から活動しているとされるRevengeHotelsは、ラテンアメリカのホスピタリティ、ホテル、旅行関連組織を標的とし、マルウェアを感染させることを目的としています。
この脅威アクターの初期のキャンペーンでは、細工されたWord、Excel、PDFドキュメントを添付したメールが確認されており、その一部はMicrosoft Officeの既知のリモートコード実行脆弱性(CVE-2017-0199)を悪用して、Revenge RAT、NjRAT、NanoCoreRAT、888 RAT、そしてProCCと呼ばれるカスタムマルウェアを展開していました。
ProofpointやPositive Technologiesによって記録されたその後のキャンペーンでは、Agent Tesla、AsyncRAT、FormBook、GuLoader、Loda RAT、LokiBot、Remcos RAT、Snake Keylogger、Vjw0rmなど、幅広いRATを配布するために攻撃チェーンを洗練させていることが示されています。
これらの攻撃の主な目的は、ホテルシステムに保存された宿泊客や旅行者のクレジットカード情報、ならびにBooking.comなどの有名なオンライン旅行代理店(OTA)から受け取ったクレジットカード情報を窃取することです。
Kasperskyによると、最新のキャンペーンでは、ホテルの予約や求人応募を装ったポルトガル語やスペイン語のフィッシングメールが送信され、受信者を偽のリンクに誘導し、WScript JavaScriptペイロードをダウンロードさせる手口が使われています。
「このスクリプトは、大規模言語モデル(LLM)によって生成されたものと思われ、その証拠として、コメントが多く記載されている点や、同種の技術で作成されたものと類似したフォーマットが挙げられます」と同社は述べています。「このスクリプトの主な機能は、感染を促進する後続スクリプトを読み込むことです。」
これにはPowerShellスクリプトも含まれており、それがさらに外部サーバーから「cargajecerrr.txt」と呼ばれるダウンローダーを取得し、PowerShell経由で実行します。このダウンローダーは、その名の通り、さらに2つのペイロードを取得し、そのうちの1つがVenom RATマルウェアの起動を担うローダーです。
オープンソースのQuasar RATをベースにしたVenom RATは、ライフタイムライセンスが650ドルで提供されている商用ツールです。HVNCやStealerコンポーネントをバンドルした1か月のサブスクリプションは350ドルです。
このマルウェアはデータの窃取、リバースプロキシとしての動作、そして中断されずに動作を継続するためのアンチキル保護機構を備えています。これを実現するために、実行中プロセスに関連付けられたDACL(裁量アクセス制御リスト)を変更し、動作を妨げる可能性のある権限を削除したり、ハードコードされたプロセス名と一致する実行中プロセスを終了させたりします。
「このアンチキル対策の2つ目の要素は、50ミリ秒ごとに実行中プロセスのリストをチェックする連続ループを実行するスレッドです」とKasperskyは述べています。
「このループは特に、セキュリティアナリストやシステム管理者がホストのアクティビティ監視や.NETバイナリ解析などに一般的に使用するプロセスを標的としています。RATがこれらのプロセスを検出すると、ユーザーに通知することなくそれらを終了させます。」
アンチキル機能には、Windowsレジストリの変更を利用してホスト上で永続化を設定し、関連プロセスが実行中プロセスリストに存在しない場合はマルウェアを再実行する能力も備わっています。
マルウェアが昇格権限で実行された場合、SeDebugPrivilegeトークンを設定し、自身を重要なシステムプロセスとしてマークすることで、プロセス終了の試みに対しても持続できるようにします。また、コンピュータのディスプレイを常にオンにし、スリープモードへの移行を防ぎます。
最後に、Venom RATのアーティファクトは、リムーバブルUSBドライブ経由での拡散や、Microsoft Defender Antivirusに関連するプロセスの終了、タスクスケジューラやレジストリの改ざんによるセキュリティプログラムの無効化といった機能も備えています。
「RevengeHotelsはその能力を大幅に強化し、ホスピタリティおよび観光業界を標的とした新たな戦術を開発しています」とKasperskyは述べています。「LLMエージェントの支援により、同グループはフィッシング誘導文の生成や修正が可能となり、攻撃を新たな地域へと拡大しています。」
翻訳元: https://thehackernews.com/2025/09/ta558-uses-ai-generated-scripts-to.html