サイバーニュース.jp

世界のサイバーなニュースを配信

Black Catハッカー集団、偽Notepad++サイトでマルウェアを配布しデータ窃取

カテゴリ:

Black Catハッカー集団による巧妙なサイバー攻撃が発覚

CNCERTとMicrostep Onlineの調査により、悪名高い「Black Cat」犯罪集団が仕掛けた巧妙なサイバー攻撃キャンペーンが明らかになりました。この攻撃は、偽のNotepad++ダウンロードウェブサイトを利用してインターネットユーザーを標的にし、マルウェアを埋め込んだソフトウェアパッケージをインストールさせることで、機密データを窃取するためのバックドア型トロイの木馬を展開します。

攻撃者は検索エンジン最適化(SEO)技術を悪用し、「Notepad++」と検索した際に、精巧に作られたフィッシングサイトが検索結果の2位に表示されるように操作していました。これにより、正規のダウンロードポータルと見分けがつかないサイトを通じて、ユーザーの信頼を悪用し、マルウェアの感染を試みます。直接悪意のあるペイロードにリンクするのではなく、攻撃者は多段階のリダイレクトプロセスを採用し、GitHubのインターフェースに似せた正規に見えるダウンロードページを経由させることで、ユーザーの警戒心を巧みに低下させてから、感染したインストーラーを送り込んでいました。

Black Catの犯罪歴と進化する手口

Black Catグループの犯罪活動は2022年にまで遡り、一貫してデータ窃盗とリモートアクセス機能に焦点を当ててきました。過去の主な活動は以下の通りです:

  • 2023年:仮想通貨取引プラットフォームAICoinを偽装した偽のダウンロードウェブサイトを通じて、約16万ドルの仮想通貨を窃取。
  • 2024年:Bing検索結果を介して偽のChromeブラウザインストーラーを展開し、データ窃取マルウェアと仮想通貨マイニングプログラムを配布。
  • 2025年6月:QQ InternationalやiToolsといった人気ソフトウェアアプリケーションにも標的を拡大し、一般的な検索エンジンを通じて配布。

この手口の進化は、Black Cat集団の適応性と、特定のユーザー層から一般のインターネットユーザーへと広範に標的を拡大していることを示しています。

マルウェアの仕組みと機能

悪意のあるNotepad++インストーラーは、永続性を確立し検出を回避するために多層的な実行チェーンを利用します。インストールされると、正規のアプリケーションではなく、バックドアコンポーネントを指すデスクトップショートカットが作成されます。このバックドアは、DLLサイドローディング技術を用いて、暗号化されたファイル(M9OLUM4P.1CCEとして保存)を介して悪意のあるコードを実行し、実行時にメモリにリフレクティブにロードされます。

マルウェアは、レジストリから事前に設定された構成情報を読み取り、ハードコードされたドメイン「sbido.com」のポート2869を介してコマンド&コントロール(C2)インフラストラクチャと通信を確立します。このドメインは2025年9月5日に登録され、9月12日以降Black Catのインフラストラクチャとの独占的な関連が確認されています。このトロイの木馬の主な機能には、ブラウザ認証情報の窃盗、キーロギング、クリップボード監視、機密ホストデータの窃取が含まれます。永続性を維持するために、マルウェアはレジストリベースのスタートアップエントリーを作成し、窃取したデータを攻撃者制御のサーバーに送信する前に保存するためのディレクトリを確立します。このバックドアは、Black Catの独自作戦のために開発されたカスタム製のデータ窃取トロイの木馬であり、市販のマルウェアとは一線を画しています。

影響と推奨される対策

データ監視の結果、このキャンペーンは甚大な影響を及ぼしていることが判明しました。2025年12月7日から20日の間に、中国で約277,800台のサーバーが侵害され、日ごとのボットネット活動のピーク時には、同時に62,167台の感染システムがオンラインとなり、毎日最大437,700回のC2サーバー接続を生成していました。この感染規模は、キャンペーンの有効性と防御策の緊急性を強調しています。

セキュリティ研究者は、ユーザーに対して以下の対策を推奨しています:

  • ソフトウェアは公式ウェブサイトまたは検証済みのリポジトリからのみダウンロードする。
  • ファイルの整合性をハッシュ検証とアンチウイルススキャンによって確認する。
  • エンドポイント保護ソリューションを展開し、定期的なシステムスキャンを行う。
  • 不審なダウンロードリンクや未知のソフトウェアには注意を払う。
  • ボットネット感染を検出した場合は、侵害経路のフォレンジック分析と徹底的なシステム修復を含む即時インシデント対応手順を開始する。

Black Cat集団の継続的な活動は、検索エンジン操作やソーシャルエンジニアリングを悪用してシステムを大規模に侵害する、金銭目的のサイバー犯罪組織がもたらす持続的な脅威を浮き彫りにしています。

元記事: https://gbhackers.com/fake-notepad-websites/

投稿をさらに読み込む