概要:Cavalry Werewolfの巧妙な攻撃
2025年5月から8月にかけて、Cavalry Werewolf(YoroTrooperおよびSilent Lynxとしても追跡)と呼ばれる高度な持続的脅威(APT)グループが、ロシアの公共部門およびエネルギー、鉱業、製造業といった重要産業を標的とした洗練された攻撃キャンペーンを展開しました。この組織的な攻撃は、信頼関係を悪用した標的型スピアフィッシングと、カスタムの多言語マルウェア群を特徴としており、Cavalry Werewolfが今年最も適応性が高く危険なAPTグループの一つであることを示しています。
初期侵入の手口:巧妙なスピアフィッシング
Cavalry Werewolfの初期侵入は、主にキルギス政府機関からの公式通信を装ったスピアフィッシングメールに依存しています。攻撃者は、経済商業省や運輸通信省などの省庁から偽のアドレスを作成し、時には本物の公式アカウントを乗っ取ることで、信頼性を最大限に高めました。典型的なフィッシングの誘い文句には、「共同作戦の3ヶ月間の結果」や「ボーナスを受け取る従業員のショートリスト」といった正規の文書を装ったRARアーカイブが含まれていました。アーカイブ内には、被害者がFoalShell(リバースシェルバックドア)またはStallionRAT(リモートアクセス型トロイの木馬)のいずれかを発見するようになっており、これらはCavalry Werewolfが長期的な制御を獲得するための中心的なマルウェアファミリーです。
防御者への重要な検出ヒント:%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlookディレクトリ内で、文書のような名前のアーカイブが作成されるのを監視してください。これはMicrosoft Outlookを通じてダウンロードされたファイルの既知のリポジトリです。
マルウェアの詳細:FoalShell
FoalShellは、C#、C++、Goで書かれたバリアントを持つコンパクトなリバースシェルです。その主な目的は、隠されたcmd.exeプロセスを介して、感染したホスト上で攻撃者に信頼性の高いコマンドラインアクセスを提供することです。
- C#版:コマンド&コントロール(C2)サーバー188.127.225.191:443に接続する永続的なループを実装し、隠されたウィンドウでコマンドプロンプトを実行しながらコマンドと出力ストリームをリダイレクトします。
- C++版:リソース内に難読化されたシェルコードローダーを使用します。コードはシェルコードをロードして実行し、C2サーバー109.172.85.63に接続し、攻撃者との対話のために隠されたコマンドプロンプトを起動します。
- Go版:C2サーバー62.113.114.209:443に接続し、Goのネットワーキングスタックを活用してcmd.exeを不可視で実行します。
脅威ハンティングのガイダンス:一時ディレクトリ内で、または異常な親プロセスを持つ疑わしいcmd.exeインスタンスの生成、および複数のシステム探索ルーチンを短時間で実行するプロセスに注意してください。
マルウェアの詳細:StallionRAT
StallionRATは、Go、PowerShell、Pythonで実装された機能豊富なリモートアクセス型トロイの木馬で、Telegramボットをコマンド&コントロールに利用するというユニークな特徴を持ち、多くの従来のネットワーク防御を回避します。
- PowerShell版:C++ドロッパーを使用して展開され、Base64エンコードされたコマンドを実行して、セキュリティソフトウェアからの悪意のある意図を難読化します。
- 操作:StallionRATはTelegramメッセージを解析して、侵害されたホストをリストアップし、デバイスごとに任意のコマンドを実行し、ファイルを転送します。ペイロードはしばしばC:\Users\Public\Librariesに隠されます。
- 永続性:レジストリのRunキーを介して永続性を確立し、侵害後の操作には、外部トラフィックをトンネルするためのReverseSocks5Agent(SOCKS5プロキシ)などのツールの展開が含まれます。観測されたC2接続は96.9.125.168:443および78.128.112.209:10443です。
- 偵察技術:ipconfig、netstat、whoami、net user /domなどのコマンドが含まれます。
防御者は、PowerShellでの-EncodedCommandパラメーターの使用を関連付け、C:\Users\Public\Librariesに新しくドロップされたバイナリを監視し、疑わしいレジストリの永続性に注意を払う必要があります。
標的の拡大とツールセットの多様化
指標は、ロシア語圏のエンティティを超えた標的の拡大の可能性を示唆しています。タジク語のファイルやアラビア語のデスクトップアーティファクトは、タジキスタンおよび中東の一部に対する積極的な偵察またはテスト攻撃を示唆しています。さらに、AsyncRATの痕跡は、ツールセットの継続的な多様化を示しています。
防御と推奨事項
Cavalry Werewolfのキャンペーンは、現代のAPTの技術的および運用的な洗練度の拡大を例示しています。多言語カスタムマルウェア、TelegramベースのC2、および信頼を悪用するスピアフィッシングの巧みな使用は、防御者にとって手ごわい課題を提示します。
- 予期せぬまたは非公式な通信の厳格な検証を徹底してください。
- 従業員に、表示名だけでなくメールヘッダーを深く確認するよう訓練してください。
- エンコードされたPowerShell、異常なcmd.exe階層、およびレジストリのRunキー操作に対する高度なEDR/XDR監視を展開してください。
- 既知のプロキシツールをフラグ付けし、特にC2アドレスやシステム偵察ツールを含むラテラルムーブメントの指標を監視してください。
侵害の痕跡(IoC)
- FoalShell C2s: 188.127.225.191:443, 109.172.85.63, 62.113.114.209:443
- StallionRAT/Proxy C2s: 96.9.125.168:443, 78.128.112.209:10443
- 主要パス: %LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook, C:\Users\Public\Libraries
- レジストリ: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Cavalry Werewolfが攻撃を適応させ拡大するにつれて、このような多角的な脅威に対して警戒を怠らないことが不可欠です。