脅威アクターグループ「Lone None」が、著作権侵害の申し立てを悪用して、高度なマルウェアを展開していることが明らかになりました。このキャンペーンでは、「Pure Logs Stealer」や新たに特定された情報窃取型マルウェア「Lone None Stealer」（別名PXA Stealer）などが使用されています。本分析では、このキャンペーンの戦術、技術、手順（TTPs）を検証し、主要な侵害指標（IOCs）を強調するとともに、「Lone None」がいかに攻撃チェーンを革新し続けているかを浮き彫りにします。

キャンペーンは、世界中の正規の法律事務所を装った偽の著作権侵害通知から始まります。これらのメールは、標的が実際に運営しているFacebookアカウントに言及することで、詐欺的な主張にもかかわらず信憑性を高めています。Cofense Intelligenceは、2024年11月からこのキャンペーンを追跡しており、複数のイテレーションにわたる進化と、難読化されたPythonインストーラー、Telegramボット、機械翻訳されたメールテンプレートの斬新な使用を指摘しています。テンプレートは、英語、フランス語、ドイツ語、韓国語、中国語、タイ語など、少なくとも10の言語で作成されており、AI翻訳または機械翻訳サービスによって生成された可能性が高いとされています。

これらのメールには、短縮リンク（tr[.]eeおよびgoo[.]suを使用）が埋め込まれており、DropboxやMediaFireなどのサービスでホストされているアーカイブにリダイレクトされます。ダウンロード後、受信者は、正規のアプリケーション（一般的にはHaihaisoft PDF Reader）と、ファイル拡張子が一致しないペイロードを含むアーカイブを解凍します。ローダーを装った悪意のあるDLLは、Windowsのcertutil.exeを使用して、偽装された「Document.pdf」を「Invoice.pdf」にデコードし、バンドルされたWinRAR実行可能ファイル（images.pngとして偽装）を呼び出して、ペイロードをC:\Users\Publicに抽出します。最後に、名前が変更されたPythonインタープリター（svchost.exe）がC:\Users\Public\Windowsにインストールされ、埋め込まれたスクリプト（images.png）を実行して、レジストリキーを介して永続性を確立します。この段階的なアプローチは、正規のプロセス内に悪意のあるコードを隠蔽し、組み込みユーティリティを利用してヒューリスティック検出やサンドボックス検出を回避します。

**仮想通貨クリップボードハイジャッカー**

このキャンペーンの際立った特徴は、「Lone None Stealer」です。これは、仮想通貨取引をハイジャックするために特別に設計された情報窃取型マルウェアです。このマルウェアは、Windowsのクリップボードを監視し、仮想通貨アドレスの形式に一致するパターンを検出します。被害者がウォレットアドレス（Bitcoin、Ethereum、Ripple、Solanaなど）をコピーすると、マルウェアはそれを攻撃者が制御するアドレス（例：Bitcoinの場合は1DPguuHEophw6rvPZZkjBA3d8Z9ntCqm1L）に密かに置き換えます。置き換え後、マルウェアはTelegramボットC2に要約メッセージを送信し、侵害されたホスト名と元の、そして置き換えられたアドレスの両方を報告します。

このボットベースのC2メカニズムは斬新です。初期ペイロードのURLはTelegramボットのプロフィールバイオに保存されており、HTTPS経由で取得可能です。その後、スクリプトはpaste[.]rsリンク（例：paste[.]rs/RWqFD）から追加のペイロードをダウンロードし、さらに0x0[.]stからモジュールをダウンロードします。ペイロードは、Base64またはBase85のテキストエンコーディングとAES暗号化という複数の難読化レイヤーを備えており、主に自動サンドボックス分析を阻止することを目的としており、コア機能の変更ではありません。2025年6月以降、「Lone None Stealer」は「Pure Logs Stealer」を含むアクティブな脅威レポートの29%に登場しており、アクターの運用能力における重要な進化を示しています。

**防御に関する考慮事項**

キャンペーンの初期段階では、より単純なペイロード（XWorm RAT、DuckTail Stealer、カスタムのPythonベースのStealer）が、同様の法的テーマの誘引を介して展開されていました。時間が経つにつれて、このグループはRATをモジュール式のPythonベースのローダーに置き換え、情報窃取に焦点を当てるようになりました。これは、最近の「Pure Logs Stealer」のバリアントにリモート制御機能（「PureHVNC」）が含まれているためと考えられます。

防御側は、偽装された法的エンティティを装い、本物のソーシャルメディアアカウントを参照する、一貫したメールの誘引構造に注意する必要があります。エンドポイントでは、異常なcertutil.exeデコードコマンド、無害な画像として命名されたバンドルされたWinRAR実行可能ファイル、ユーザー書き込み可能なディレクトリでsvchost.exeとして偽装されたPythonインタープリター、および永続性のためのレジストリエントリが指標となります。ネットワーク防御側は、TelegramボットAPIおよびファイル共有ドメインへのアウトバウンド接続、ならびにpaste[.]rsおよび0x0[.]stからのフェッチを監視する必要があります。

ソーシャルエンジニアリングと正規のツール、革新的なC2チャネルを組み合わせることで、「Lone None」は、メールの誘引が効果を維持するために最小限の変更で済む一方で、ペイロードの複雑さが着実に増加していることを示しています。セキュリティチームは、不審な著作権侵害通知に対するユーザーの意識を高め、アプリケーションのホワイトリスト化、コマンドライン監視、ネットワークの出口フィルタリングを実装して、この進化する脅威を阻止する必要があります。

元記事: https://gbhackers.com/malware-deployment-via-copyright-takedown-claims-by-threat-actors/