脅威の概要
悪名高い初期アクセスブローカーとして知られるTA584が、ランサムウェア攻撃につながる可能性のあるネットワークアクセスを得るために、Tsundere BotとXWormリモートアクセス型トロイの木馬を併用していることが確認されました。Proofpointの研究者は2020年からTA584の活動を追跡しており、脅威アクターが最近その活動を著しく増加させ、静的検出を回避する継続的な攻撃チェーンを導入していると報告しています。
Tsundere Botは昨年Kasperskyによって初めて報告され、123 Stealerマルウェアと関連するロシア語圏のオペレーターに起因するとされました。Proofpointによると、「このマルウェアは情報収集、データ流出、ラテラルムーブメント、および追加ペイロードのインストールに使用できる」とのことです。Proofpointは、TA584がこのマルウェアを使用していることから、Tsundere Botの感染がランサムウェア攻撃につながる可能性が高いと確信しています。
TA584の活動拡大
2025年後半のTA584の活動量は、同年第1四半期と比較して3倍に増加しました。また、攻撃対象地域も従来の北米、英国/アイルランドから、ドイツ、欧州各国、オーストラリアへと拡大しています。
攻撃チェーンの詳細
現在主流となっている攻撃チェーンは、侵害された数百のアカウントから送信される電子メールから始まります。これらのメールはSendGridとAmazon Simple Email Service (SES)を通じて配信されます。メールにはターゲットごとに固有のURLが含まれており、ジオフェンシングやIPフィルタリング、そしてKeitaroのようなサードパーティのトラフィックディレクションシステム (TDS) を含むリダイレクトチェーンのメカニズムが用いられています。
これらのフィルタを通過したユーザーはCAPTCHAページに誘導され、その後ClickFixページでシステム上でPowerShellコマンドを実行するよう指示されます。このコマンドは難読化されたスクリプトを取得して実行し、XWormまたはTsundere Botのいずれかをメモリにロードし、欺瞞のためにブラウザを無害なサイトにリダイレクトします。
Tsundere Botの機能
Tsundere Botは、バックドア機能とローダー機能を備えたマルウェア・アズ・ア・サービス (MaaS) プラットフォームです。動作にはNode.jsが必要であり、マルウェアは自身のコマンド&コントロール (C2) パネルから生成されたインストーラーを使用して、被害者システムにNode.jsを追加します。
このマルウェアは、EtherHiding技術の亜種を利用して、EthereumブロックチェーンからC2アドレスを取得します。インストーラーにはハードコードされたフォールバックアドレスも含まれています。WebSocketsを介してC2サーバーと通信し、システムロケールをチェックするロジックが含まれており、独立国家共同体 (CIS) 諸国の言語 (主にロシア語) が使用されているシステムでは実行を中止します。Tsundere Botは、感染したマシンのプロファイルを作成するためにシステム情報を収集し、C2から受信した任意のJavaScriptコードを実行でき、感染ホストをSOCKSプロキシとして使用することもサポートしています。このマルウェアプラットフォームには、ボットを売買できる組み込みの市場も備わっています。
今後の予測
Proofpointの研究者らは、TA584がより広範なターゲットを狙うようになると予想しており、この脅威アクターが今後もさまざまなペイロードを試し続けると考えています。TA584はこれまでにもUrsnif, LDR4, WarmCookie, Xeno RAT, Cobalt Strike, DCRATといった多数のペイロードを使用してきました。