概要:Cavalry Werewolf APTの活動激化
ロシアを標的とする高度な持続的脅威(APT)グループであるCavalry Werewolfが、新たなマルウェア亜種とTelegramベースのコマンド&コントロール(C2)を悪用し、攻撃活動を活発化させています。セキュリティチームは、このグループが使用するツールに対するリアルタイムの可視性を優先し、効果的な検出および防御策を維持する必要があります。FoalShellやStallionRATに関するタイムリーな洞察がなければ、攻撃者の戦術進化に後れを取るリスクがあります。
巧妙なフィッシングキャンペーン
Cavalry Werewolfは最近数ヶ月間、複数のロシア組織に対して標的型フィッシングキャンペーンを展開しています。攻撃者は、キルギス政府機関(経済商業省、文化・情報・スポーツ・青少年政策省、運輸通信省など)の従業員になりすまし、受信者を騙して悪意のあるRAR添付ファイルを開かせます。これらのフィッシングメールには、FoalShellまたはStallionRATのバイナリが含まれています。
あるキャンペーンでは、キルギス共和国の規制当局ウェブサイトから収集され、侵害された可能性のある正規のメールアドレスが使用されました。この正規アカウントを再利用することで、攻撃者はルアーの信頼性を高め、将来の作戦のために信頼されたインフラを侵害する能力を示しています。この戦術は、洗練されたなりすまし攻撃を阻止するために、送信者の身元とコンテンツ(テキスト、リンク、添付ファイル)の両方を検証することの重要性を浮き彫りにしています。
FoalShell:多言語対応のリバースシェル
FoalShellは、Cavalry Werewolfが使用するシンプルながら効果的なリバースシェルであり、Go、C++、C#で実装されています。各バージョンはcmd.exeの隠れた実行を可能にし、侵害されたホスト上で攻撃者に完全なコマンドラインアクセスを付与します。
- FoalShell C#:標準の.NET APIを利用して入出力スレッドをリダイレクトします。起動時には
cmd.exeウィンドウを非表示にし、ソケットまたはI/Oエラーが発生すると終了します。既知のファイル名には「О результатах трёх месяцев совместной работы [redacted].exe」や「Список сотрудников выдвинутых к премии ко Дню России.exe」などがあります。 - FoalShell C++:
output_binというリソースに難読化されたシェルコードを格納するランチャーを使用します。ランチャーはVirtualAllocを介して実行可能メモリを割り当て、ペイロードを難読化解除し、ZwResumeThreadを使用して制御を転送します。注目すべきファイル名には「Программный офис Управления Организации Объединенных Наций по наркотикам и преступности (УНП ООН).exe」や「Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe」などがあります。 - FoalShell Go:リモートコントロールサーバーへのネットワーク接続を確立し、
cmd.exeを隠しモードで起動します。ファイル名の例には「Служебная записка от 20.08.2025 [multiple spaces].exe」などがあります。
脅威ハンターは、%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlookで作成された不審なアーカイブや、%Temp%または%UserProfile%\Downloadsなどの場所で予期しない親実行ファイルによって生成されたcmd.exeプロセスを監視することで、FoalShellの活動を検出できます。
StallionRATとTelegramベースのC2運用
Go、PowerShell、Pythonで記述されたStallionRATは、任意のコマンド実行、ファイルロード、データ窃取といったCavalry Werewolfの機能を拡張します。このファミリーは、C2チャネルとしてTelegramボットを使用します。
C++ランチャーは、Base64エンコードされたPowerShellコマンドを介してStallionRATをトリガーします:powershell -ExecutionPolicy Bypass -WindowStyle Hidden -EncodedCommand <Base64 string>
アクティブになると、StallionRATは各ホストにランダムなDeviceIDを割り当て、コンピューター名を取得します。RATはgetUpdates関数を使用してTelegramボットを継続的にポーリングし、/go [DeviceID] [command]、/upload [DeviceID]、/listなどのコマンドを実行します。感染したホスト(DeviceID 9139)で観測されたコマンドには、Runレジストリキーを介したレジストリ永続化、ReverseSocks5Agentを介したSOCKS5プロキシの展開、およびipconfig /all、netstat、whoamiなどの環境偵察コマンドが含まれます。
これらのアクションを検出するには、セキュリティチームは-EncodedCommandを使用したPowerShell起動の相関ルールを設定し、C:\Users\Public\Librariesでのファイル作成、およびHKCU\Software\Microsoft\Windows\CurrentVersion\Run下の不審なレジストリ変更を監視する必要があります。
脅威の拡大と防御策
攻撃者のマシン上でタジク語のアーカイブ(「Номерхои коргархо new.rar」)やアラビア語のファイル名が確認されたことは、Cavalry Werewolfの活動がロシアやCIS諸国を超え、中央アジアや中東にまで及んでいることを示唆しています。AsyncRATなどの追加ツールも彼らのツールキットに含まれている可能性があり、マルウェア機能の継続的な開発と多様化を示しています。
Cavalry Werewolfに対する効果的な防御には、継続的なサイバー脅威インテリジェンスの監視と迅速な脅威ハンティングの仮説が必要です。組織は、自動化されたテレメトリー分析を統合し、新しいFoalShellおよびStallionRATの挙動に対する検出シグネチャを定期的に更新し、表面的なチェックを超えてメール送信者を検証する必要があります。警戒を怠らないツールの可視性とプロアクティブなハンティングを通じてのみ、セキュリティチームはこの進化するAPTの一歩先を行くことができます。