インフォスティーラーの脅威世界に新しく高度な脅威AuraStealerが出現しています。2025年中盤にデビューしたこのインフォスティーラーは急速に注目を集めており、現在は大規模で急速に進化するコマンド・アンド・コントロール(C2)インフラストラクチャを標的にしています。
AuraStealerマルウェアは主に機密ユーザー情報の盗難を目的としています。48個のアクティブなC2ドメインを利用しており、攻撃戦術と能力における大きな転換を示しています。
AuraStealerはロシア語を話す脅威アクターグループによって2025年7月にハッカーフォーラムで初めて登場しました。それ以来、様々なシステムで機密情報を主に標的とする複数のキャンペーンで観測されています。
AuraStealerの戦略の重要な側面は、その急速に拡大するC2インフラストラクチャです。このマルウェアは以前はSHOPトップレベルドメイン(TLD)に大きく依存していましたが、その後CFD TLDの使用にシフトしており、グループの適応性と従来のセキュリティシステムによる検出を回避しようとする試みを反映しています。
マルウェアは、盗まれた認証情報や他の機密データを流出させるための制御ポイントとして機能するC2ドメインのセットに接続することで動作します。
これらのドメインは現在様々なTLDに分散しており、48個の異なるC2ドメインが特定されています。ドメイン戦術のこのシフトは、従来のドメインブロックリストとネットワーク防御を回避する方法として見ることができ、攻撃者は検出を回避するためにインフラストラクチャを進化させ続けています。
このキャンペーンが特に注目に値する理由は、攻撃者がシフトするドメインを使用して検出を回避し、被害者データを追跡する方法です。
ドメイン切り替え技術の組み合わせにより、AuraStealerは重大な脅威であることが証明されています。戦術のこの進化は、インフォスティーラー領域における脅威アクターの増加する洗練さを強調しています。
Intrinsecのサイバー脅威インテリジェンス(CTI)チームは、AuraStealerのインフラストラクチャ、パネル、ペイロードの徹底的な技術分析を実施しました。
彼らの調査結果には、キャンペーンに直接関連する340以上の侵害指標(IOC)が含まれています。これらのIOCは、悪質なトラフィックをブロックし、進行中の侵入を積極的に検出するための防御者に貴重な洞察を提供します。
Intrinsecの研究は、マルウェアの動作と侵害されたシステムとその操作者間のC2通信にも焦点を当てました。
パネルインターフェースとペイロード分析により、攻撃者は高度にダイナミックなシステムを使用し、ドメインを頻繁にシフトさせ、検出を回避するための特殊な戦術を展開できることが明らかになりました。
シフトするC2インフラストラクチャに加えて、チームはAuraStealerが認証情報収集に対して高度にターゲット化されたアプローチを使用し、攻撃者が機密データを最小限の検出で抽出および流出させることを可能にしていることを発見しました。
これには、ユーザーログイン情報からより重要なビジネスデータまで、幅広いシステムの認証情報が含まれます。
AuraStealerの台頭は、インフォスティーラーエコシステムにおけるより広いトレンドを反映しています。RhadamanthysとVidarはまだ支配的ですが、AuraStealerのようなより俊敏で洗練されたマルウェアの導入は重大な混乱を引き起こしています。
組織にとって、このシフトは積極的なサイバーセキュリティアプローチを必要とし、ますます洗練された脅威に対抗するために継続的に適応する検出および対応能力が必要です。
セキュリティチームは、進化するC2インフラストラクチャの監視を優先し、実行可能なインテリジェンスをセキュリティツールに統合し、侵害が発生する前に将来の脅威を予測する必要があります。
翻訳元: https://cyberpress.org/aurastealer-targets-48-c2-domains/