概要:Cavalry Werewolf APTの脅威
2025年5月から8月にかけて、Cavalry Werewolf(YoroTrooperおよびSilent Lynxとしても追跡)と呼ばれる高度な持続的脅威(APT)グループが、ロシアの公共部門およびエネルギー、鉱業、製造業といった重要産業を標的とした洗練された攻撃キャンペーンを実行しました。この組織的な攻撃は、信頼関係を悪用した高度に標的型なスピアフィッシングと、カスタムの多言語マルウェア兵器庫の展開を特徴としており、Cavalry Werewolfを今年の最も適応性が高く危険なAPTグループの一つとして位置付けています。
初期侵入の手口
Cavalry Werewolfの初期侵入は、主にスピアフィッシングメールに依存しています。これらのメールは、キルギス政府機関からの公式な通信を装っていました。攻撃者は、経済商業省や運輸通信省などの省庁から、偽のアドレスを作成したり、時には本物の公式アカウントを乗っ取ったりして、信頼性を最大限に高めていました。典型的なフィッシングの誘いには、「共同作戦の3ヶ月間の結果」や「ボーナスを受け取る従業員のショートリスト」といった正規の文書を装ったRARアーカイブが含まれていました。アーカイブ内には、被害者がFoalShell(リバースシェルバックドア)またはStallionRAT(リモートアクセス型トロイの木馬)のいずれかを発見するようになっていました。これらのマルウェアファミリーは、Cavalry Werewolfが長期的な制御を獲得するための中心的な戦術です。
リソースは読み込まれ、VirtualAllocを使用してRWE(読み取り、書き込み、実行)権限でメモリが割り当てられ、シェルコードが実行されます。防御者にとって重要な検出のヒントは、%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlookディレクトリ内での文書のような名前を持つアーカイブの作成を監視することです。これは、Microsoft Outlookを通じてダウンロードされたファイルのよく知られたリポジトリです。
FoalShell:多様な設計
FoalShellはコンパクトなリバースシェルで、C#、C++、Goで書かれたバリアントが存在します。その主な目的は、隠されたcmd.exeプロセスを介して、感染したホスト上で攻撃者に信頼性の高いコマンドラインアクセスを提供することです。
- C#版: 188.127.225.191:443のコマンド&コントロール(C2)に接続する永続的なループを実装し、コマンドと出力ストリームをリダイレクトしながら、隠されたウィンドウでコマンドプロンプトを実行します。
- C++版: リソース内に難読化されたシェルコードローダーを使用します。コードはシェルコードをロードして実行し、109.172.85.63のC2に接続し、攻撃者との対話のために隠されたコマンドプロンプトを起動します。
- Go実装: 62.113.114.209:443のC2に接続し、Goのネットワークスタックを活用してcmd.exeを不可視で実行します。
脅威ハンティングのガイダンス:一時ディレクトリ内のプロセスや異常な親プロセスによって生成された疑わしいcmd.exeインスタンス、および複数のシステム検出ルーチンを立て続けに実行するプロセスに注意してください。
StallionRAT:Telegramで制御されるスパイウェア
StallionRATは、Go、PowerShell、Pythonで実装された機能豊富なリモートアクセス型トロイの木馬であり、Telegramボットをコマンド&コントロールに利用するというユニークな特徴を持っています。これにより、多くの従来のネットワーク防御を回避します。
- PowerShell版: C++ドロッパーを使用して展開され、Base64エンコードされたコマンドを実行して、セキュリティソフトウェアから悪意のある意図を難読化します。
- 操作: StallionRATはTelegramメッセージを解析して、侵害されたホストをリストアップし、デバイスごとに任意のコマンドを実行し、ファイルを転送します。ペイロードはしばしばC:\Users\Public\Librariesに隠されます。
- 永続性: レジストリのRunキーを介して永続性を確立し、侵害後の操作には、外部トラフィックをトンネルするためのReverseSocks5Agent(SOCKS5プロキシ)などのツールの展開が含まれます。観測されたC2接続は96.9.125.168:443および78.128.112.209:10443です。
- 偵察技術: ipconfig、netstat、whoami、net user /domなどのコマンドが含まれていました。
防御者は、PowerShellでの-EncodedCommandパラメータの使用を関連付け、C:\Users\Public\Librariesでの新規バイナリのドロップを監視し、疑わしいレジストリ永続性に注意する必要があります。
標的の拡大とツールセットの多様化
指標は、ロシア語圏以外の標的への拡大の可能性を示唆しています。タジク語のファイルやアラビア語のデスクトップアーティファクトは、タジキスタンおよび中東の一部に対する積極的な偵察またはテスト攻撃を示唆しています。さらに、AsyncRATの痕跡は、ツールセットの多様化が進行中であることを示しています。
防御と推奨事項
Cavalry Werewolfのキャンペーンは、現代のAPTの技術的および運用的な洗練度の拡大を例示しています。多言語カスタムマルウェア、TelegramベースのC2、および信頼を悪用したスピアフィッシングの巧みな使用は、防御者にとって手ごわい課題を提示します。
- 予期せぬまたは非公式な通信の厳格な検証を徹底します。表示名だけでなく、メールヘッダーを深く確認するように担当者を訓練します。
- エンコードされたPowerShell、異常なcmd.exe階層、およびレジストリRunキーの操作に対する高度なEDR/XDR監視を展開します。
- 既知のプロキシツールをフラグ付けし、特にC2アドレスやシステム偵察ツールを含む横方向の移動指標を監視します。
FoalShell C2s: 188.127.225.191:443, 109.172.85.63, 62.113.114.209:443
StallionRAT/Proxy: 96.9.125.168:443, 78.128.112.209:10443
主要パス: %LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook, C:\Users\Public\Libraries
レジストリ: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Cavalry Werewolfが攻撃を適応させ、拡大するにつれて、このような多角的な脅威に対して警戒を怠らないことが不可欠です。