「Olymp Loader」の台頭とその脅威
2025年6月に公開されて以来、新型マルウェア・アズ・ア・サービス(MaaS)である「Olymp Loader」は、アンダーグラウンドのサイバー犯罪フォーラムやTelegramチャンネルにおいて、急速に脅威としての地位を確立しました。「OLYMPO」という別名で流通しているこのマルウェアは、高度な回避能力、多目的機能、そして攻撃的な配布戦術を融合させており、これにより犯罪者にとってサイバー攻撃への参入障壁が大幅に引き下げられています。
卓越したアンチ分析機能と巧みなマーケティング
Olymp Loaderの開発者は、このマルウェアを「完全に検出不可能(FUD:Fully UnDetectable)」と積極的に宣伝し、VirusTotalでの検出率がわずか1/72であることを主要なセールスポイントとしています。さらに、コードベース全体がアセンブリ言語で書かれていることを強調しており、これはアセンブリがセキュリティ製品による検出やアナリストによるリバースエンジニアリングが困難であると認識している技術的に洗練された犯罪者を惹きつけています。開発者の「10年以上のアセンブリプログラミング経験」という主張は、アンダーグラウンドコミュニティで多くの肯定的なレビューを獲得し、その信頼性を高めています。
多機能性と急速な進化
Olymp Loaderは、単一のツールでありながら、ペイロードローダー、クリプター、データスティラーとして同時に機能する多目的脅威です。その組み込みスティラーモジュールは、ブラウザ、Telegramアプリケーション、仮想通貨ウォレットといった、サイバー犯罪者が金銭的利益を求める上で魅力的な主要アセットを標的とします。この包括的な機能セットは、独自のツールを開発する技術的専門知識を持たない低~中レベルの脅威アクターに対して、高度な攻撃能力を民主化しています。
2025年6月のデビュー以来、Olymp Loaderは大幅なアーキテクチャの進化を遂げています。特に8月3日の再構築では、ボットネット機能から専用のドロッパーモデルへと移行し、Webパネルへの依存を排除して、暗号化されたペイロードを直接実行可能ファイルスタブに統合しました。
初期のOlymp Loaderサンプルは、cmd.exeのタイムアウトコマンド、AppDataディレクトリの再配置、PowerShellベースのスタートアップフォルダ操作を通じて永続化を確立していました。しかし、2025年8月のバリアントでは、Windows Defenderのリアルタイム監視、ネットワークファイルスキャン、I/O仮想化保護を無効化する多段階のPowerShellコマンドを組み込むことで、回避戦術を劇的にエスカレートさせました。その後のイテレーションでは、Defender Removerツールセットコンポーネント、レジストリ削除コマンド、そしてAppData、LocalAppData、デスクトップ、ドキュメントフォルダに及ぶ広範なディレクトリ除外リストが導入されています。
主要なペイロードと巧妙な配信戦略
感染後の分析によると、Olympクライアントが主に展開するペイロードは以下の通りです。
- LummaC2 (46%)
- WebRAT/SalatStealer (31%)
- QasarRAT (15%)
- Raccoon (8%)
このローダーのスティラーモジュールは、バイナリファイルにハードコードされたプロキシURLをPROXYマーカー経由でアクセスする洗練されたデータ漏洩技術を使用しています。Telegramデータの窃取では、レジストリクエリ、プロセス終了、スクリーンショットキャプチャ後にデータが漏洩されます。ブラウザからの情報窃取には、BrowserSnatchのような公開リポジトリからの修正されたオープンソースコードが活用されており、その対象リストはベースライン実装と比較して2倍に増加しています。
Olymp Loaderは、正規のソフトウェア配布(PuTTY、OpenSSL、Zoom、Counter-Strikeなど)を模倣したGitHubのアセットホスティングやURLベースの誘惑を利用したソーシャルエンジニアリングも積極的に行っています。このアプローチは、開発者や一般ユーザーが頻繁に利用するツールを悪用することで、ターゲットとなる集団における感染の可能性を大幅に高めています。
Olymp Loaderの急速な成熟、その実証された技術的洗練度、そして攻撃的なMaaSマーケティングは、組織にとって重大な脅威となっています。低スキルなサイバー犯罪者でもアクセス可能であり、継続的な運用の進化が続くため、積極的な脅威監視とエンドポイントセキュリティの検証が不可欠です。