ロシア関連の脅威アクターであるCOLDRIVER APTグループは、2025年9月、洗練されたソーシャルエンジニアリングキャンペーンと軽量なマルウェアツールを用いて市民社会を標的にし続けています。このキャンペーンでは、これまで文書化されていなかった2つのマルウェアファミリー、ダウンローダー「BAITSWITCH」とPowerShellベースのバックドア「SIMPLEFIX」が使用されています。
Star Blizzard、Callisto、UNC4057としても追跡されているCOLDRIVERは、これまで西側諸国およびロシアのNGO、シンクタンク、ジャーナリスト、人権擁護団体に対する認証情報フィッシングキャンペーンに注力してきました。Zscaler ThreatLabzの最新調査によると、このロシア関連の高度な持続的脅威(APT)グループCOLDRIVERは、ロシアの市民社会メンバーを標的とする新しい多段階ClickFixキャンペーンで攻撃ツールを拡大しています。
このグループの最新キャンペーンは、2025年初頭に初めて採用したClickFixソーシャルエンジニアリング技術を組み込むことで、その戦術が大きく進化していることを示しています。
**攻撃の仕組み**
攻撃は、被害者がロシアの市民社会メンバー向けの情報リソースを装ったウェブページにアクセスすることから始まります。このサイトには、悪意のあるコマンドの実行をユーザーに促すように設計された偽のCloudflare Turnstileチェックボックスが表示されます。クリックすると、埋め込まれたJavaScriptが悪意のある`rundll32.exe`コマンドを被害者のクリップボードにコピーし、Windowsの「ファイル名を指定して実行」ダイアログボックスに貼り付けて実行するように指示します。
このセクションでは、被害者がClickFixウェブページにアクセスし、サイトが促すアクションを実行したときに開始される攻撃チェーンの各コンポーネントについて詳細な分析を提供します。
このキャンペーンでは、亡命したロシアの市民社会メンバーのレジリエンスを構築するためのメンターシップおよびフェローシッププログラムについて議論する2ページの文書が使用されており、バックグラウンドで発生する悪意のある活動を完璧に隠蔽しています。
**多段階感染チェーン**
BAITSWITCHダウンローダー(`machinerie.dll`)は、永続性を確立し、追加のペイロードを取得する洗練されたマルウェアです。このマルウェアは、ハードコードされたユーザーエージェント文字列を使用してコマンド&コントロール(C2)インフラストラクチャに接続し、セキュリティ研究者による検出を回避するために、この特定の識別子にのみサーバーが応答します。
BAITSWITCHは、綿密に調整された5段階のプロセスを実行します。
1. **永続性の確立:** `UserInitMprLogonScript`レジストリキーを変更し、次回のユーザーログオン時にPowerShellスクリプトを実行するように設定します。
2. **ペイロードの保存:** 暗号化されたペイロードをWindowsレジストリキー`EnthusiastMod`および`QatItems`に保存します。
3. **PowerShellステージャーのダウンロード:** `southprovesolutions.com`からPowerShellステージャーをダウンロードし、被害者のAppDataディレクトリに保存します。
4. **フォレンジック対策:** `RunMRU`レジストリキーをクリアすることでフォレンジック対策活動を実行し、初期のClickFixコマンド実行の痕跡を効果的に消去します。
5. **システム登録:** 被害者のホスト名をC2サーバーに送信し、将来の操作のために侵害されたシステムを登録している可能性があります。
SIMPLEFIXバックドアは、COLDRIVERが軽量でファイルレスな、完全にメモリ内で動作するマルウェアを好むことを示しています。このPowerShellベースのツールは、文字列難読化技術を採用し、レジストリ操作を通じて永続性を確立するため、従来のセキュリティツールによる検出が困難です。
アクティブになると、SIMPLEFIXは3分間のポーリングサイクルで動作し、コンピューター名、ユーザー名、マシンUUIDを組み合わせた一意のユーザーエージェント文字列をすべてのC2通信用に生成します。このバックドアは、カスタマイズ可能なコマンドラインパラメータによるバイナリ展開、システム偵察コマンドの実行、出力の外部送信を伴うPowerShellスクリプトの実行という3つの主要なコマンドタイプをサポートしています。
分析中、研究者はマルウェアが「`whoami /all`」、「`ipconfig /all`」、「`systeminfo`」などの包括的な偵察コマンドやネットワーク列挙ツールを実行していることを確認しました。最も懸念されたのは、Documents、Downloads、Desktop、OneDriveフォルダーを含むターゲットディレクトリから特定のファイルタイプ(.pdf、.doc、.xls、.txt、.zip、.rar、.7z)に関する情報を外部に送信するように設計されたPowerShellスクリプトでした。
**ロシアのサイバー作戦**
Zscaler ThreatLabzは、複数の重複する戦術、技術、手順に基づいて、このキャンペーンをCOLDRIVERに中程度の確信度で帰属させています。ClickFix HTMLページは、COLDRIVERの2025年1月のキャンペーン資料と類似点があり、分割復号キーの方法論は、LOSTKEYS VBScriptマルウェアで使用された技術を反映しています。
偵察機能は、以前のCOLDRIVERの操作、特に戦略的情報価値を提供する可能性のある文書ファイルの体系的な列挙と密接に一致しています。最も重要なのは、キャンペーンの被害者層が、ロシアの市民社会メンバー、人権擁護団体、民主化運動に関わる個人に焦点を当てるというCOLDRIVERの確立された標的パターンと完全に一致していることです。
この脅威グループの継続的な進化は、市民社会組織や反体制派が直面する永続的な危険を示しています。COLDRIVERがClickFix技術を採用し、軽量なPowerShellベースのマルウェアと組み合わせることは、多くの従来のセキュリティ制御を回避しつつ、運用セキュリティを維持する効果的なアプローチを表します。
**緩和策**
セキュリティ専門家は、これらの攻撃から防御するために基本的なサイバーセキュリティ対策を講じることを推奨しています。組織は、最小特権アクセス制御を強制し、Windows AppLockerやApp Controlなどのアプリケーション制御技術を展開して、不正なスクリプトやバイナリをブロックする必要があります。
ブラウザ分離技術は、クリップボードの相互作用を軽減し、信頼できないウェブサイトでのユーザーアクションがシステムを侵害するのを防ぐのに役立ちます。さらに、セキュリティ意識向上トレーニングでは、CAPTCHA検証や技術的なトラブルシューティング手順を要求するウェブページによって促された場合でも、クリップボードの内容からコマンドを実行するリスクを強調する必要があります。
COLDRIVERキャンペーンは、洗練された国家支援アクターが、進化する戦術で脆弱なコミュニティを標的にし続けていることを浮き彫りにしています。採用されている技術は斬新でも技術的に高度でもありませんが、標的となった集団に対するその有効性は、高リスク環境で活動する市民社会組織にとって依然として懸念事項です。
**侵害の痕跡 (IOCs)**
| タイプ | 値 | 説明 |
| :—– | :—– | :—– |
| Domain | `preentootmist[.]org` | ClickFixドメイン |
| Domain | `blintepeeste[.]org` | ClickFixドメイン |
| Domain | `captchanom[.]top` | BAITSWITCH DLLおよび中間コマンドをホストするドメイン |
| Domain | `southprovesolutions[.]com` | C2サーバー |
| URL | `hxxps://preentootmist[.]org/?uinfo_message=Resilient_Voices` | ロシアのシンクタンクを装ったClickFixウェブページ |
| URL | `hxxps://blintepeeste[.]org/?u_storages=Resilient_Voices_concept` | ロシアのシンクタンクを装ったClickFixウェブページ |
| URL | `hxxps://captchanom[.]top/check/machinerie.dll` | BAITSWITCH DLLをホストするURL |
| URL | `hxxps://captchanom[.]top/coup/premier` | PowerShellスクリプトの最初のステージを起動するためのWindowsレジストリキーを追加するコマンドで応答 |
| URL | `hxxps://captchanom[.]top/coup/deuxieme` | AES暗号化されたスクリプトをWindowsレジストリに追加するPowerShellコマンドで応答 |
| URL | `hxxps://captchanom[.]top/coup/troisieme` | PowerShellスクリプトの最初のステージをダウンロードするPowerShellコマンドで応答 |
| URL | `hxxps://captchanom[.]top/coup/quatre` | Windowsレジストリキーを削除するコマンドで応答 |
| URL | `hxxps://southprovesolutions[.]com/FvFLcsr23` | PowerShellスクリプトの最初のステージで応答 |
| URL | `hxxps://southprovesolutions[.]com/Zxdf` | PowerShellスクリプトの2番目のステージで応答 |
| URL | `hxxps://southprovesolutions[.]com/KZouoRc` | コマンドを取得するためのC2 URL |
| URL | `hxxps://southprovesolutions[.]com/EPAWl` | データ外部送信に使用されるC2 URL |
| URL | `hxxps://southprovesolutions[.]com/VUkXugsYgu` | エンドポイントでのコマンド実行成功を確認するために使用されるURL |
| URL | `hxxps://drive.google.com/file/d/1UiiDBT33N7unppa4UMS4NY2oOJCM-96T/view` | ソーシャルエンジニアリングの誘引をホストするために使用されるGoogle Drive URL |
—
元記事へのリンク: [https://gbhackers.com/coldriver-apt-group-clickfix-powershell-backdoor/](https://gbhackers.com/coldriver-apt-group-clickfix-powershell-backdoor/)