TA585の脅威とMonsterV2マルウェア
サイバー犯罪が進化を続ける中、新たな脅威アクターと革新的な戦術が日々、防御側を悩ませています。最近出現した脅威グループTA585は、この変化を象徴しており、サイバー犯罪の性質の変化を浮き彫りにする洗練されたマルウェアキャンペーンを展開しています。
TA585は、攻撃チェーンの各段階を自社で管理することで際立っています。トラフィック配信ネットワークや初期アクセスブローカーといった既存のサイバー犯罪サービスに依存する代わりに、このグループはMonsterV2のようなマルウェアを配信するための独自のインフラを制御しています。MonsterV2は、最近登場したリモートアクセス型トロイの木馬(RAT)、情報窃取型マルウェア、およびローダーです。
MonsterV2は2025年2月にサイバー犯罪フォーラムで初めて登場し、その高額な価格と、潤沢なリソースを持つアクターに魅力的な機能豊富なツールセットで急速に悪名を馳せました。主にMaaS(Malware-as-a-Service)として販売されているMonsterV2は、機密データの窃取、リモートデスクトップアクセス(HVNC)、任意のコマンド実行、ローダーおよび情報窃取型マルウェアとしての機能で際立っています。
一部のマルウェアファミリーが大量配布に依存するのとは異なり、MonsterV2の実際の使用は、その高額な価格のために選択的です。標準ティアで月額800ドル、ローダー、情報窃取、高度な制御モジュールを含むエンタープライズ機能では最大2,000ドルと報じられています。
巧妙なキャンペーン戦術
2025年2月にProofpointによって初めて観測されたTA585は、政府機関をテーマにしたフィッシングキャンペーンで注目を集めました。標的型メールは、米国内国歳入庁(IRS)や中小企業庁(SBA)の通知を模倣し、被害者をPDFへのリンクを開くように誘いました。これらのPDFは、いわゆる「ClickFix」技術を採用した罠が仕掛けられたウェブページにつながっていました。これは、ユーザーにWindowsの「ファイル名を指定して実行」ダイアログまたはターミナルを介してPowerShellコマンドを手動で実行させるという、斬新な誘引方法です。
2025年4月と5月には、TA585は、侵害された正規ウェブサイトに独自のJavaScriptウェブインジェクションを仕掛けて運用を拡大しました。すべての訪問者をリダイレクトするのではなく、注入されたコードは選択的に被害者を標的とし、ユーザーにPowerShellスクリプトを実行して身元を確認するよう指示する、説得力のある偽のCAPTCHAを表示しました。このスクリプトが実行されると、MonsterV2ペイロードがユーザーのWindowsマシンにフェッチされ、インストールされました。
訪問者のスクリーニングを外部委託したり、多層的なアフィリエイトネットワークに依存したりするキャンペーンとは異なり、TA585はすべてのフィルタリングとペイロード配信を内部で実行します。攻撃者のインフラは、マルウェアを配信する前に、ボットやセキュリティ研究者ではなく、実際の人間が存在することを確認します。TA585のさらなるキャンペーンでは、GitHub通知を配信ベクトルとして悪用しました。ここでは、攻撃者が悪意のあるリンクを含む問題やセキュリティ警告でユーザーをタグ付けすることで、本物に見えるアラートがユーザーに届きました。
MonsterV2の詳細な分析
MonsterV2は、徹底的なシステム偵察、権限昇格の試み、データ窃取オプション、およびセカンダリペイロード配信を誇ります。これらのフィッシングチェーンは、同じフィルタリングとCAPTCHAのトリックを用いたペイロードサイトにもつながり、最終的にMonsterV2またはその兄弟であるRhadamanthysを配信しました。
MonsterV2は、オペレーティングシステムの詳細、ユーザーおよびデバイス情報、IPデータなどを収集し、エンコードしてコマンド&コントロール(C2)インフラに安全に送信します。Proofpointは、MonsterV2がマイナーな「外観上の」更新を含め、積極的に維持および更新されていることを観測しています。
通信および設定ファイルは、ChaCha20アルゴリズムを使用して暗号化され、その後ZLib圧縮が施されており、検出と分析を困難にしています。特に、MonsterV2はいくつかのCIS諸国でのエンドポイント感染を回避し、アンチデバッグおよびアンチサンドボックスチェックを使用し、自動実行とミューテックス作成を通じて侵害されたホストでの永続性を管理します。このマルウェアの活発なメンテナンスと更新サイクルは、洗練された脅威アクターに対応する献身的な開発チームの存在を示しています。
対策と推奨事項
この脅威に対抗するため、Proofpointは組織に対し、ClickFix技術についてユーザーを教育し、Windowsシステムでの非管理者PowerShellの使用を制限するよう助言しています。
TA585の精密なターゲティング、高度なペイロード、および配信エコシステムの完全な制御を組み合わせた実践的なアプローチは、今日のサイバー脅威環境における警戒監視と適応型防御の必要性を強調しています。