概要:進化するStar Blizzardの脅威
ロシアの国家支援型ハッカー集団「Star Blizzard」(別名ColdRiver、UNC4057、Callisto)が、その攻撃手法を大幅に進化させています。彼らは「ClickFix」と呼ばれるソーシャルエンジニアリング攻撃を起点に、新しいマルウェアファミリー「NoRobot」や「MaybeRobot」を展開し、活動を強化しています。
LostKeysから新マルウェアへの移行
Google Threat Intelligence Group(GTIG)が以前使用されていた「LostKeys」マルウェアの分析を公開してからわずか1週間足らずで、Star Blizzardはこのマルウェアを放棄しました。そして、わずか5日後には「NOROBOT」、「YESROBOT」、「MAYBEROBOT」と追跡される新しい悪意のあるツールを、以前よりも「より積極的に」展開し始めました。
新しいマルウェアファミリーの詳細
- NOROBOT: 偽のCAPTCHAページ(「私はロボットではありません」)を悪用した「ClickFix」攻撃を通じて配信される悪意のあるDLLです。ターゲットを騙してrundll32経由で実行させます。Zscalerはこのマルウェアを「BAITSWITCH」、そのペイロードを「SIMPLEFIX」と名付けています。NOROBOTはレジストリの変更やスケジュールされたタスクを通じて永続性を確立します。
- YESROBOT: 当初、NOROBOTはPythonベースのバックドアであるYESROBOTのためにWindows用Python 3.8をインストールしていました。しかし、Pythonのインストールが目立つアーティファクトであるため、その使用は短命に終わりました。
- MAYBEROBOT: YESROBOTの後に採用されたPowerShellスクリプトで、Zscalerによって「SIMPLEFIX」と特定されています。このマルウェアは以下の3つのコマンドをサポートしています。
- 指定されたURLからのペイロードのダウンロードと実行
- コマンドプロンプトを介したコマンドの実行
- 任意のPowerShellブロックの実行
MAYBEROBOTは実行結果を異なるコマンド&コントロール(C2)パスに返し、攻撃者に運用状況のフィードバックを提供します。
攻撃チェーンの巧妙化
Googleのアナリストは、MAYBEROBOTの開発が安定した一方で、攻撃者がNOROBOTをよりステルスで効果的なものにするために改良を続けていると指摘しています。攻撃チェーンは、複雑なものからより単純なものへ、そして再び暗号鍵を複数のコンポーネントに分割する複雑なものへと変化しました。これにより、感染チェーンの再構築を困難にし、ダウンロードされたコンポーネントのいずれかが欠けている場合、最終的なペイロードが適切に復号されないようにしていると考えられます。
ColdRiverの継続的な脅威
ColdRiverの活動はロシアの情報機関(FSB)に起因するとされており、少なくとも2017年からサイバースパイ活動に従事しています。インフラの妨害、制裁、戦術の暴露といった努力にもかかわらず、ColdRiverは依然として活発で進化し続ける脅威です。
ハッカーがフィッシング攻撃からClickFix攻撃に移行した理由については、以前にフィッシングによって侵害され、すでにメールや連絡先が盗まれているターゲットを再標的化し、デバイス上の情報から追加のインテリジェンス価値を獲得するためではないかと推測されています。
防御のための情報
Googleの報告書には、Robotマルウェア攻撃を検出するための侵害指標(IoC)とYARAルールが記載されており、防御側がこれらの脅威に対処するための重要な情報を提供しています。