はじめに
悪名高いバンキングマルウェアDanabotが、バージョン669をリリースし、再びその姿を現しました。2025年5月に実施された国際的な法執行機関による共同作戦「Operation Endgame」で一時的に活動が停止されて以来、約6ヶ月間の沈黙を破っての復活となります。この再出現は、マルウェアの背後にいるサイバー犯罪者たちが、法執行機関による脅威排除の努力にもかかわらず、C2(コマンド&コントロール)インフラを再構築し、成功裏に再編成したことを示唆しています。
Operation Endgameとその後の再編
2025年5月に実行されたOperation Endgameは、複数のボットネットとサイバー犯罪組織を標的とした、国際的な法執行機関による大規模な共同作戦でした。この作戦は一時的にDanabotの活動を妨害しましたが、脅威アクターはマルウェアを再構築し、バージョン669を用いた新たなキャンペーンを開始することで、その回復力を証明しました。約6ヶ月間の休止期間は、オペレーターがC2インフラを再確立し、テイクダウン後に導入された検出メカニズムを回避するためにマルウェアのコードベースを更新する戦略的な再編期間であったと考えられます。
コマンド&コントロール(C2)インフラの多様化
セキュリティ研究者たちは、新たに展開された複数のC2サーバーを特定しており、脅威アクターがインフラ戦略を大幅に多様化していることを示しています。発見されたC2エンドポイントには、従来のIPベースのサーバーとTorホスト型ドメインの両方が含まれており、持続性を向上させ、ネットワークベースのテイクダウンを回避するためのハイブリッドアプローチが採用されています。
- 直接接続用: 62.60.226[.]146:443, 62.60.226[.]154:443, 80.64.19[.]39:443
- TorベースのC2インフラ: 匿名性を維持し、将来の法執行機関による対策に対する回復力を高めるために隠しサービスドメインを使用。
- バックコネクトC2サーバー: 158.94.208[.]102 (ポート443および8080)。これはリバースシェル接続を容易にし、侵害されたシステムへの永続的なアクセスを可能にする可能性が高いです。
暗号通貨窃盗への焦点
Danabotバージョン669は、バンキングマルウェアファミリーの間でますます一般的になっている非常に収益性の高い攻撃ベクトルである暗号通貨窃盗に引き続き焦点を当てています。再浮上したこの亜種は、現在、複数のブロックチェーンネットワークとデジタル資産を標的とするように構成されており、サポートされている各暗号通貨に専用のウォレットアドレスを使用しています。
- Bitcoin: 12eTGpL8EqYowAfw7DdqmeiZ87R922wt5L
- Ethereum: 0xb49a8bad358c0adb639f43c035b8c06777487dd7
- Litecoin: LedxKBWF4MiM3x9F7zmCdaxnnu8A8SUohZ
- TRON: TY4iNhGut31cMbE3M6TU5CoCXvFJ5nP59i
この多通貨アプローチにより、脅威アクターは被害者が保有する暗号通貨の種類に関わらず、侵害されたシステムから収益を得る能力を最大化しています。
組織への影響と対策
Danabotバージョン669の再出現は、高度なバンキングマルウェアファミリーがもたらす永続的な脅威と、法執行機関による単発の作戦がサイバー犯罪インフラを完全に排除するには限界があることを浮き彫りにしています。組織は、堅牢なエンドポイント検出および対応(EDR)ソリューション、特定されたC2インフラに対するネットワーク監視、および従業員向けのセキュリティ意識向上トレーニングを通じて、この脅威に対して警戒を怠らない必要があります。
金融機関および暗号通貨取引所は、特定されたウォレットアドレスに関連する不審な取引活動に対する監視を強化し、Danabotの特徴的なコマンドインジェクションや認証情報窃盗活動を検出するための行動分析の導入を検討すべきです。Danabotの再出現は、高度なマルウェアを運用する脅威アクターが、法執行機関による大規模な介入にもかかわらず、適応し、再構築し、新たなキャンペーンを展開し続けていることを示しています。サイバーセキュリティ専門家間の継続的な監視と情報共有は、この進化する脅威を追跡し、軽減するために極めて重要です。