セキュリティ研究者によってTrikとしても知られているPhorpiexボットネットは、サイバーセキュリティ環境における、適応性に優れた長期的な脅威として再浮上しました。
2011年にシンプルなスパム操作として最初に現れたPhorpiexは、世界中で壊滅的な多角的攻撃を実行できる高度なマルウェア配布プラットフォームへと進化しました。
最新のTwiztバリアントの最近の分析により、大規模なランサムウェアペイロードを配信し、暗号資産盗難を実行し、広範なセクストーションキャンペーンを実行するように設計された回復力のあるアーキテクチャが明らかになりました。
Phorpiexボットネットの継続的な成功は、従来のコマンド・アンド・コントロール(C2)HTTPポーリングとTCPおよびUDPを介した堅牢なピア・ツー・ピア(P2P)プロトコルを組み合わせた高度なハイブリッド通信アーキテクチャに由来しています。
この二層的アプローチは、サーバー閉鎖に対する例外的な回復力を保証し、中央サーバーが侵害されている場合でも、感染したノードがアクティブなピアのリストと新しい運用コマンドの更新されたリストを継続的に共有することを可能にします。
ペイロード配信システムを保護するため、Phorpiexは厳格なセキュリティ対策を採用し、256バイトのRSA暗号化ヘッダーを備えたカスタム形式で新しいペイロードを保護しています。
このメカニズムは、正常な復号化と実行のために攻撃者の秘密鍵が必要であり、外部のセキュリティ研究者がネットワーク内でコマンドを挿入または変更することを非常に困難にしています。
さらに、マルウェアはAPIハッシングとスタック文字列を使用して、静的分析ツールを回避しています。
Phorpiexオペレーターは、従来のスパム配信をはるかに超えて、収益化戦略を多様化させています。収益ストリームの中核となる要素は、暗号資産ウォレットクリップの継続的なハイジャックを含みます。
マルウェアは被害者のクリップボードを監視し、暗号資産アドレスと一致するパターンを探します。被害者のクリップボードを監視し、暗号資産アドレスと一致するパターンを探します。それらを即座にハードコードされた攻撃者のウォレットで置き換え、財務送金をシームレスにリダイレクトします。
最新のバリアントは、傍受機能を最大化するために88の異なる暗号資産アドレスを積極的にターゲットにしています。
2025年後半、ボットネットは被害者のマシンがコーポレートドメインの一部であるか、Windows Serverを実行しているかを具体的に確認するジェネリックローダーを配備しました。
これらの条件が満たされた場合、ローダーはLockBit Blackランサムウェアを配備し、エンタープライズ勒誘への高度にターゲット化されたアプローチを実証しました。
その後、2026年初頭、脅威アクターはGlobalランサムウェアファミリーの亜種を使用して大規模な地理的位置情報ベースの攻撃を開始し、特に中国の被害者をターゲットにし、約7,000台のデバイスに同時に影響を与えました。
オペレーターはまた、ボットネットの大規模なメール配信機能を活用して、広範なセクストーションキャンペーンを実施しています。
これらのキャンペーンは数百万のメールアドレスをターゲットにし、被害者のデバイスが明示的なウェブサイトへのアクセスを記録したリモート管理ツール(RAT)に感染していると虚偽の主張をしています。
攻撃者は、疑惑の録音のリリースを防ぐために1,800ドルのビットコインを要求し、恐怖を利用して世界中の被害者から恐喝しています。
これらの組み合わせた戦術を通じて、Phorpiexは高い影響力のあるサイバー犯罪を警戒すべき規模で配信できる、一流の利益中心の脅威エコシステムであり続けています。
翻訳元: https://cyberpress.org/phorpiex-botnet-fuels-malware/