概要:COLDRIVERの新たな脅威
ロシア国家支援の脅威アクターであるCOLDRIVER(UNC4057、Star Blizzard、Callistoとしても追跡)は、長年にわたり高位のNGO、政策顧問、反体制派を標的としてきました。2025年5月にそのマルウェア「LOSTKEYS」が公に開示された後、このグループは急速に進化する新たなマルウェアキャンペーンに関連付けられています。GTIGとZscalerの分析によると、COLDRIVERはLOSTKEYSの詳細が明らかになってからわずか5日以内に、新たなマルウェアファミリーを運用開始し、前例のない速さで戦術とツールを転換しました。この絶え間ないペースは、標的環境へのアクセスを維持し、防御策を回避するためのグループの献身を示しています。
LOSTKEYSの公開とCOLDRIVERの対応
LOSTKEYSマルウェアに関する情報が公開された後、COLDRIVERはその侵害されたマルウェアから迅速に離脱しました。GTIGの研究者は、公開後LOSTKEYSのインスタンスを一度も確認しておらず、これはグループの驚くべき俊敏性の証です。COLDRIVERは、相互接続された多様なマルウェアツールセットを展開し、すでに数回の開発イテレーションを経ています。
NOROBOTの登場と感染経路
再構築されたCOLDRIVERのツールセットの中心にあるのは、悪意のあるDLL「NOROBOT」です。これは、更新された「ClickFix」というおとり(ユーザーの操作を誘うCAPTCHAチャレンジを装う)を通じて配信されます。NOROBOTは、ハードコードされたコマンド&コントロール(C2)サーバーから追加の悪意のあるステージを取得するように設計されています。これは、COLDRIVERが以前依存していた複雑なPowerShellチェーンからの転換を示しており、ユーザーをだましてrundll32でDLLを実行させることで、従来のセキュリティ制御の一部を効果的に回避しています。
新たな攻撃チェーンは、標的が偽のCAPTCHAページとやり取りすることから始まります。このページは、ユーザーに「iamnotarobot.dll」と偽装されたDLLの実行を促します。このDLL(NOROBOT、Zscalerでは「BAITSWITCH」とも呼ばれる)は常に開発が続けられており、2025年5月から9月までのサンプルでは、感染率を最大化するための展開の簡素化と、分析を妨害するために暗号鍵を複数のコンポーネントに分割するなどの複雑化の間で、せめぎ合いが見られます。
マルウェア開発の進化
NOROBOTの初期バージョンは、扱いにくく、完全なPythonインストールを必要とするため検出リスクの高いPythonバックドア「YESROBOT」を展開していました。GTIGはYESROBOTの短期間の使用しか確認しておらず、COLDRIVERはすぐにPython不要でより多機能なPowerShellベースのバックドア「MAYBEROBOT」(またはSIMPLEFIX)に置き換えました。
COLDRIVERの開発ペースは加速しており、NOROBOTの各バリアントには、インフラのローテーション、ファイル名とエクスポート関数の変更、感染チェーンのステップの追加または削除など、微妙な変更が含まれています。これらの調整は、検出を回避し、インシデント対応を複雑にするためです。最終的なバックドアであるMAYBEROBOTは安定しており、COLDRIVERがそのステルス性と柔軟性のバランスに満足していることを示唆しています。これは、彼らの主な焦点が感染チェーン自体の強化に移り、テイクダウンや分析に対する回復力を高めていることを意味します。
フィッシングからマルウェアへの移行と防御策
歴史的にCOLDRIVERはフィッシング攻撃を好んでいましたが、マルウェア展開を強化した理由は不明です。研究者は、このアプローチが特に価値の高い標的向けであり、初期のアカウント侵害後にデバイスレベルの情報を求めている可能性があると推測しています。
防御策も並行して進化しています。Googleの対応として、悪意のあるインフラとサンプルがSafe Browsingに追加され、リスクのあるGmailおよびWorkspaceユーザーには脅威通知が送信されています。セキュリティ専門家は、共有された侵害指標(IOC)とYARAルールを確認し、脅威インテリジェンスフィードを通じてCOLDRIVERの新たなキャンペーンに関する最新情報を入手することが推奨されます。COLDRIVERの戦術が進化し続ける中、防御側も同様に適応し、従来の誘惑と、ロシア国家スパイ活動に使用されるますます洗練されたマルウェアチェーンの両方に対して警戒を続ける必要があります。