概要:Stan Ghoulsの新たな脅威
「Stan Ghouls」、別名「Bloody Wolf」として知られるサイバー犯罪グループが、中央アジアおよびロシアの組織を標的とした新たな攻撃キャンペーンを開始しました。2023年以降活動しているこのグループは、製造業、金融業、IT分野に重点を置いています。これまでの攻撃は複数の国に及んでいましたが、最新のキャンペーンでは特にウズベキスタンが標的とされ、約50の組織が被害に遭っています。
戦術の変化:STRRATからNetSupport RATへ
Stan Ghoulsを監視しているセキュリティ研究者たちは、その攻撃手法に顕著な変化があることを確認しました。以前は、STRRAT(Strigoi Master)という特定の悪意のあるソフトウェアに依存していましたが、今回からNetSupport RATと呼ばれる正規のリモート管理ツールを悪用するようになりました。これは、ITチームが実際に使用する正規のソフトウェアを利用することで、検出を回避し、感染したマシンを完全に制御することを狙っています。
攻撃の仕組み:巧妙なフィッシングと回避策
この攻撃は、標的の現地の言語(ウズベク語やキルギス語など)で書かれたスピアフィッシングメールから始まります。メールの添付ファイルは「Постановление_Районный_суд_Кчрм_3566_28-01-25_OL4_scan.pdf」という悪意のあるPDFファイルです。これらのメールは、地方裁判所の命令や再審請求といった公式な政府または法的な通知を装っています。被害者がこのデコイファイルを開くと、「事件資料」が含まれていると主張するリンクが表示されます。文書は、ファイルを表示するためにJavaがインストールされている必要があるとユーザーに指示し、リンクをクリックすると、正規の文書ではなく悪意のあるJavaファイル(JARローダー)がダウンロードされます。
ユーザーがダウンロードしたJavaファイルを実行すると、マルウェアはセキュリティ研究者のテスト環境ではなく、実際の被害者のコンピューターで実行されていることを確認するために、いくつかの巧妙なチェックを実行します。
- 偽のエラーメッセージ: アプリケーションが現在のオペレーティングシステムでは実行できないという偽のエラーメッセージを即座に表示し、ファイルが破損しているとユーザーに錯覚させます。
- 実行回数制限: マルウェアはインストールされた回数をカウントします。3回以上実行された場合、動作を停止し、「試行回数制限に達しました」というエラーメッセージを表示します。
これらのチェックを通過した場合、ローダーは悪意のあるドメインに接続し、メインの実行可能ファイルclient32.exeを含むNetSupport RATファイルをダウンロードします。
持続性の確立
被害者がコンピューターを再起動した後も制御を維持するため、Stan Ghoulsはマルウェアを自動的に起動させるために3つの異なる方法を使用します。
- スタートアップフォルダ: Windowsのスタートアップフォルダにスクリプトを配置します。
- レジストリキー: Windowsレジストリに起動コマンドを追加します。
- スケジュールされたタスク: ユーザーがログインするたびにマルウェアを実行するシステムタスクを作成します。
スマートデバイスへの拡大の可能性
興味深いことに、研究者たちはStan Ghoulsが活動範囲を広げている可能性を示唆する証拠を発見しました。以前のキャンペーンで使用されたサーバー上で、Miraiマルウェアに関連するファイルが発見されました。Miraiは、スマートカメラやルーターなどのIoTデバイスを攻撃することで悪名高いマルウェアです。Stan Ghoulsが直接Miraiを使用しているのか、それとも単に他のハッカーとインフラを共有しているだけなのかは確認されていませんが、このグループが標準的なコンピューター以外の攻撃手段を模索している可能性を示唆しています。
まとめと今後の警戒
今回のキャンペーンだけでも60人以上の被害者が確認されており、Stan Ghoulsは巧妙で進化し続ける脅威であることが証明されています。標的とされている地域の組織は、引き続き最大限の警戒を怠らないよう注意が必要です。