概要

SloppyLemming という名前の攻撃者は、パキスタンとバングラデシュの政府機関や重要なインフラストラクチャ運営者に対して新しい攻撃を展開しています。この活動は、2025年1月から2026年1月にかけて行われたもので、Arctic Wolf 社が報告しています。

攻撃の詳細

SloppyLemming は、BurrowShell と Rust 言語に基づくキーロガーという二つの異なるマルウェアチェーンを使用して攻撃を展開します。特に Rust 言語の使用は、SloppyLemming のツールセットが進化したことを示しています。

攻撃手法

Arctic Wolf 社によると、この攻撃者はスパムメールを用いて PDF ドキュメントやマクロ付き Excel ドキュメントを配布し、これにより感染チェーンが始まります。PDF ドキュメントには URL が含まれており、これはユーザーを ClickOnce アプリケーションのマニフェストに誘導します。

マルウェア BurrowShell

BurrowShell は完全機能を持つバックドアであり、ファイルシステム操作やスクリーンショットのキャプチャ、リモートシェル実行、ネットワークトンネリング用の SOCKS プロキシ機能を提供します。また、C2 トラフィックを Windows Update サービス通信として偽装し、RC4 暗号化を使用してペイロードを保護しています。

キーロガーアタックチェーン

第二の攻撃チェーンでは、Excel ドキュメントに含まれる悪意のあるマクロがキーロガーマルウェアをドロップします。さらに、ポートスキャンやネットワーク列挙機能も組み込まれています。

インフラストラクチャの調査

Arctic Wolf 社は、1年間で 112 の Cloudflare Workers ドメインが登録されたことを発見しました。これは、2024 年 9 月に Cloudflare によってフラグが立てられた 13 のドメインから 8 倍の増加となっています。

脅威アクターの特徴

SloppyLemming は、パキスタン、スリランカ、バングラデシュ、中国の政府機関やエネルギー、通信、テクノロジー企業を標的としています。また、Ares RAT や WarHawk などのマルウェアファミリーも使用しています。

結論

元記事: https://thehackernews.com/2026/03/sloppylemming-targets-pakistan-and.html