ロシア政府機関へのサイバー攻撃:Cavalry Werewolfの脅威
2025年7月、Doctor Webのアンチウイルスラボは、ロシア連邦内の政府機関から緊急の警告を受けました。この機関は、自社の企業メールアドレスから発信されたスパムメールを発見し、ネットワーク侵害を疑っていました。当初は日常的な調査と思われましたが、すぐに「Cavalry Werewolf」として知られる脅威アクターグループによる高度な標的型攻撃の発見へと発展しました。調査により、攻撃者の主な目的は、機密情報の窃取と、重要インフラへのさらなる侵入を容易にするための組織のネットワーク構成のマッピングであることが明らかになりました。
初期侵入の手口:巧妙なフィッシングとバックドア
脅威アクターは、従来の、しかし非常に効果的な攻撃ベクトルを採用しました。それは、正規の政府文書を装った悪意のある添付ファイルを含むフィッシングメールです。これらのメッセージは、Reverse-Shell-CSオープンソースプロジェクトに基づく未知のバックドア「BackDoor.ShellNET.1」を介して配信されました。このマルウェアは、「Служебная записка от 16.06.2025」や「О ПРЕДОСТАВЛЕНИИ ИНФОРМАЦИИ ДЛЯ ПОДГОТОВКИ СОВЕЩАНИЯ.exe」といった公式の政府文書を模倣した欺瞞的なファイル名を使用し、パスワード保護されたアーカイブ内に巧妙にパッケージ化されていました。一度実行されると、このバックドアはリバースシェル接続を確立し、攻撃者に侵害されたシステム上でのリモートコマンド実行機能を付与しました。
侵入後の活動:情報窃取と隠密なネットワークアクセス
初期アクセスに成功した後、Cavalry WerewolfはWindowsの組み込みツールであるBitsadminを利用して、コマンド&コントロールサーバーから追加の悪意のあるペイロードをダウンロードしました。攻撃者は直ちに、.doc、.docx、.xlsx、.pdf、および画像ファイルを含む形式の文書を窃取するように設計された高度なファイル窃取マルウェア「Trojan.FileSpyNET.5」を展開しました。その後、ReverseSocks5オープンソースソフトウェアに基づくマルウェア亜種「BackDoor.Tunnel.41」をインストールし、SOCKS5トンネルを作成して隠密なネットワークアクセスとコマンド実行機能を可能にしました。
Cavalry Werewolfの広範な感染ツール群
Doctor Webの調査により、Cavalry Werewolfが複数の攻撃段階で用いた広範なツールキットが明らかになりました。初期の侵害段階では、BAT.DownLoader.1138バッチスクリプト、Trojan.Packed2.49708やTrojan.Siggen31.54011のような実行可能トロイの木馬、そしてBackDoor.Siggen2.5463やBackDoor.RShell.169を含む複数のバックドア亜種など、多様なマルウェアが関与していました。各亜種は攻撃チェーン内で特定の目的を果たし、一部はTelegramボットを介してコマンド配布のために制御されていました。その後の感染段階では、グループは、暗号化されたペイロードを正規のaspnet_compiler.exeプロセスに注入する高度なバックドア「Trojan.Inject5.57968」や、永続的なSOCKS5プロキシアクセスを確立する「BackDoor.ReverseProxy.1」を展開しました。特筆すべきは、Cavalry WerewolfがWinRar、7-Zip、Visual Studio Code、PDFリーダーなどの正規ソフトウェアバイナリを改ざんし、悪意のあるコードを埋め込みながらも、アプリケーションを機能不全に陥らせていたことです。
ネットワーク偵察と永続化の手法
被害者ネットワークに深く侵入した後、Cavalry Werewolfは正規のWindowsユーティリティを使用して体系的な偵察活動を実行しました。攻撃者はユーザー情報を照会し、ipconfigコマンドを介してネットワーク構成を列挙し、プロキシサーバーの接続性をテストしました。彼らはPowerShell、Bitsadmin、およびcurlを利用して追加の悪意のあるツールを配信し、永続化のためにWindowsレジストリエントリを変更し、マルウェアペイロードのステージングのためにC:\users\public\picturesのような公開ディレクトリを利用しました。
Cavalry Werewolfの脅威と対策
Cavalry Werewolfのキャンペーンは、政府インフラに対する標的型攻撃に特化した高度な脅威アクターグループであることを示しています。彼らのオープンソースソフトウェアの利用、広範なバックドアの武器庫、および運用セキュリティの実践は、彼らを重大な永続的脅威として位置づけています。組織は、同様の標的型キャンペーンから防御するために、堅牢なメールフィルタリング、エンドポイント検出機能、およびネットワークセグメンテーションを実装する必要があります。