サイバーニュース.jp

世界のサイバーなニュースを配信

新型マルウェア「Olymp Loader」:Defender回避と自動証明書署名を謳うMaaSが登場

カテゴリ:

, , , , , , , , ,

Olymp Loaderとは?

2025年6月5日に登場したばかりの「Olymp Loader」は、アンダーグラウンドフォーラムやTelegramで急速に注目を集めている新たなMaaS(Malware-as-a-Service)です。経験豊富なアセンブリコーダー3人組「OLYMPO」によって開発されたこのローダーは、完全にアセンブリベースのモジュール、高度な回避技術、そして組み込みの窃取機能を誇ります。これにより、低・中レベルのサイバー犯罪者にとって、すぐに利用できる攻撃ツールとして魅力的な選択肢となっています。

進化するサービスと機能

当初「Olymp Botnet」として販売されていたこのプロジェクトは、すぐにローダーサービスへと転換し、最近ではクリプター中心のソリューションへと進化しました。OLYMPOのTelegramチャンネルでは、ステージャー生成ツール、ローダー、ボットネット、ファイルスキャナー、クリプターを統合した「Orophwareスイート」として提供する動的なロードマップが公開されています。このモジュール化されたアプローチにより、機能の迅速な展開と、リリースから広範な採用までの期間短縮が実現されています。

価格設定と高度な機能

2025年8月5日時点でのOLYMPOの価格体系は以下の通りです。

  • Classic Stub(50米ドル):Defender回避、Defender削除モジュール、自動証明書署名、低VirusTotal検出率を保証。
  • Personal Shellcode Modifications(100米ドル):クラシックスタブ内でのカスタムシェルコード統合。
  • Unique Stub(200米ドル):パーソナライズされたシェルコード、独自の正規バイナリへのインジェクション。

宣伝されている機能は多岐にわたります。

  • 最大限のステルス性を実現する完全アセンブリ実装
  • 32ビット、64ビット、.NET、Java、ネイティブペイロードのサポート。
  • インジェクションターゲットに応じて12MBから70MBのバイナリサイズ。
  • UAC-FloodやWindows Defender除外メカニズムを介した積極的な特権昇格
  • コアモジュールとペイロードに対するディープXOR暗号化
  • 正規の証明書を使用したスタブとモジュールの自動コード署名
  • ヒューリスティック分析を阻止するための独自の機械学習回避アルゴリズム

さらに、OLYMPOはブラウザデータ、Telegramセッションデータ、仮想通貨ウォレットの認証情報という3つの主要な窃取モジュールをローダーフレームワークに直接バンドルしています。ユーザーは、オンデマンドのカスタムモジュール向けに公開APIも利用でき、ログはクライアントが制御するプロキシエンドポイントを介してルーティングされます。

拡散経路と感染後のペイロード

最近の統計によると、感染後のペイロードの46%がLummaC2を、31%がWebRAT(SalatStealer)を、15%がQasarRATを、8%がRaccoon Stealerを展開しています。ごく一部はローダーのネイティブブラウザ窃取モジュールを選択しています。

いくつかの配布手法が確認されています。

  • GitHub Releases:PurpleOrchid65リポジトリ下の「NodeJs.exe」を装ったバイナリ。
  • Amadeyを介したセカンドステージ配信:Pay-Per-Install(PPI)サービスの利用を示唆。
  • 正規ソフトウェアのなりすまし:PuTTY、OpenSSL、Zoom、CapCut、SumatraPDF、PeaZipを参照するURLで被害者を誘惑。
  • 証明書ブランドの偽装:借用したアプリアイコンと証明書で信頼性を高める。

OLYMPOはHackForums、BHF、DarkForums、Niflheim、Lolz Guruなどのアンダーグラウンドフォーラムで活発に活動しており、サンプルをVirusTotalにアップロードして検出されない(FUD: Fully UnDetectable)性能をアピールしています。約100人の購読者がいるメインのTelegramチャンネルでは、成功事例が共有され、機能のリクエストが行われています。ロシアのXSSフォーラムでは、アセンブリインジェクションとサイバーキルチェーンに関する技術的な詳細を公開するというユニークなマーケティング手法が試みられましたが、このアカウントはポリシー違反によりすぐにBANされました。

セキュリティ対策への影響

Olymp Loaderは、その積極的なロードマップと機能豊富なペイロードにより、初心者の脅威アクターにとっての障壁を下げ、コモディティ侵入の規模を拡大させる可能性があります。セキュリティチームは、アンダーグラウンドチャネルでの更新を監視し、特に証明書署名されたバイナリ、Defender除外戦術、および特注のシェルコードバリアントに関する検出戦略を、Olympの次のモジュールが主流になる前に適応させる必要があります。

元記事: https://gbhackers.com/

投稿をさらに読み込む