概要：最新のサイバー脅威

サイバー犯罪者らは、ベネズエラのニコラス・マドゥロ大統領が2025年1月3日に逮捕されたという報道を悪用し、巧妙なソーシャルエンジニアリングキャンペーンを通じてバックドアマルウェアを配布しています。Darktraceのセキュリティ研究者らは、この注目の地政学的イベントを利用して、疑うことを知らない犠牲者を危険にさらす悪質な作戦を発見しました。

攻撃手法の詳細

脅威アクターは、おそらく「US now deciding what’s next for Venezuela.zip」と題されたZIPアーカイブを含むスピアフィッシングメールを使用しました。アーカイブ内には、「Maduro to be taken to New York.exe」という実行ファイルと、悪意のあるダイナミックリンクライブラリ（DLL）「kugou.dll」が含まれています。

この実行ファイルは、実際には中国のストリーミングプラットフォームである正規のKuGouバイナリであり、DLL検索順序のハイジャックを介して悪意のあるDLLをロードするように武器化されています。実行されると、マルウェアはC:\ProgramData\Technology360NBにディレクトリを作成し、自身をそこにコピーします。実行ファイルは「DataTechnology.exe」に名前が変更され、レジストリキーHKCU\Software\Microsoft\Windows\CurrentVersion\Run\Lite360を通じてシステム起動時に自動的に実行されるように設定されます。その後、欺瞞的なダイアログボックスが表示され、ユーザーにコンピューターの再起動を促し、ユーザーが従わない場合、マルウェアは強制的にシステムを再起動します。

再起動後、マルウェアはコマンド＆コントロール（C2）サーバー172.81.60[.]97上のポート443に暗号化されたTLS接続を確立し、定期的にビーコンを送信して攻撃者からの指示と構成更新を受信します。

過去の類似事例と関連性

このキャンペーンは、主要な世界的な出来事を悪用して悪意のある目的を達成するという確立されたパターンに従っています。同様の戦術は、ウクライナ戦争に関連するキャンペーンでも観察されており、脅威アクターはフィッシングメールで捕虜の言及を使用しています。中国の脅威グループであるMustang Pandaは、ウクライナ、チベットの会議、南シナ海、台湾に関する誘引を利用してバックドアを展開する同様の技術を繰り返し採用しています。戦術、技術、および手順はMustang Pandaの操作と類似性を示していますが、研究者らは、このキャンペーンを特定の脅威グループに明確に帰属させるには不十分な証拠であると強調しています。

セキュリティアドバイス

組織およびユーザーは、特に時事問題に言及している電子メールの添付ファイルを開く際には、細心の注意を払うよう強く推奨されます。

侵害の痕跡（IoCs）

• IPアドレス: 172.81.60[.]97
• ZIPアーカイブのハッシュ（MD5）: 8f81ce8ca6cdbc7d7eb10f4da5f470c6 – US now deciding what’s next for Venezuela.zip
• 実行ファイルのハッシュ（MD5）: 722bcd4b14aac3395f8a073050b9a578 – Maduro to be taken to New York.exe
• DLLファイルのハッシュ（MD5）: aea6f6edbbbb0ab0f22568dcb503d731 – kugou.dll

元記事: https://gbhackers.com/cybercriminals-exploit-maduro-news-spread-malware/