概要:3Dアーティストを狙う新たな脅威
脅威アクターが、Blender Foundationのプロジェクトファイルを悪用し、悪名高いStealC V2インフォスティーラーを配布していることが明らかになりました。この攻撃は、人気のマーケットプレイスからコミュニティ資産をダウンロードする3Dアーティストやゲーム開発者を標的としています。Morphisecの報告によると、過去数ヶ月間にわたり、Blenderに組み込まれたスクリプト機能を悪用する巧妙なキャンペーンが複数阻止されており、クリエイティブツールとサイバー犯罪の結びつきが強まっていることを示唆しています。
攻撃の仕組み:.blendファイルからStealC V2への感染経路
この長期にわたる攻撃は、少なくとも6ヶ月前から活動しており、CGTraderのようなプラットフォームにアップロードされた悪意のある.blendファイルを中心に展開しています。これらのファイルは、高品質なSFや宇宙をテーマにしたキャラクターモデルを装っています。Blenderで「Auto Run Python Scripts」が有効な状態で開かれると、ファイルに隠されたPythonコードが実行され、多段階の感染チェーンが開始されます。最終的に、StealC V2が展開され、ロシア関連のPyramid C2インフラに接続されます。
攻撃は、Blenderが`bpy.data.texts`フィールド内にPythonスクリプトを埋め込む正当な機能を悪用しています。通常、`Rig_Ui.py`のようなスクリプトでリギングインターフェースを生成するために使用されますが、これが悪用されると強力な実行ベクトルとなります。
具体的な感染チェーン
- 悪意のある`Rig_Ui.py`を含むサンプルファイル(SHA256: `c62e094cf89f9a2d3b5018fdd5ce30e664d40023b2ace19acc1fd7c6b2347143`)が開かれると、スクリプトはローダーを取得するため、`hxxps://blenderxnew.tohocaper1979.workers[.]dev/get-link`に接続します。
- このローダーは、PowerShellスクリプト(SHA256: `B95F39B3C110D5FC7E89E50209C560FE7077B9B66A5FC31065F0C17C7F06EE83`)をダウンロードします。
- PowerShellスクリプトは、攻撃者が制御するインフラから2つのZIPアーカイブをフェッチします。
- 内容が2つのペイロードに分割されます:
- `ZalypaGyliveraV1.zip`: StealCを含むPython環境を同梱しています。
- `BLENDERX.zip`: `hxxps://zalukina.avisregde1988.workers[.]dev/get-link`から追加コンポーネントを取得する補助的なPythonスティーラーです。
- `%TEMP%`に抽出された後、マルウェアは`ZalypaGyliveraV1.lnk`(SHA256: `7B4FC95BE7CA3BDE156FD53D10D05BF8C1A11D36155DC6179C9D4AFDD5E6862F`)のような隠しLNKショートカットを介してスタートアップフォルダに永続化を確立します。
- 最終段階では、Pyramid C2スタイルのPythonクレードルが、ChaCha20で暗号化されたペイロードをダウンロードします。これは以前のロシア語圏のStealCオペレーションで確認された手口と類似しています。
StealC V2:進化を続け、検出が困難な脅威
StealC V2は、元のStealCインフォスティーラーの進化版として登場し、2025年4月28日にアンダーグラウンドフォーラムで新しいバージョンが発表されました。このマルウェアは、下位層のサイバー犯罪者向けに積極的に販売されており、月額約200米ドルから、3ヶ月で550米ドル、6ヶ月で800米ドルといったサブスクリプション価格で提供されています。
機能的には、StealC V2は広範囲な資格情報およびデータ窃盗ツールです。Chromiumベースのバリアント、Firefox、Opera、Braveなど、23以上のブラウザをサポートしており、サーバーサイドでの資格情報復号化やChrome 132以降の明示的なサポートも含まれています。また、100以上のブラウザプラグインや拡張機能、15以上のデスクトップ仮想通貨ウォレット、Telegram、Discord、Tox、Pidginなどのメッセージングプラットフォーム、ProtonVPNやOpenVPNなどのVPNクライアント、Thunderbirdなどのメールクライアントにも対応しています。
UACバイパスやステルス性への注力が、VirusTotalのようなプラットフォームでの検出率が極めて低い一因となっています。
対策と推奨事項
Morphisecのランサムウェアおよびインフォスティーラー対策プラットフォームは、これらのBlender経由で配布されるStealCキャンペーンを、実行の初期段階で一貫して阻止しています。同プラットフォームは、シグネチャや静的検出に依存するのではなく、現実的なデコイ資格情報をメモリやブラウザストレージに注入することで、プロアクティブな欺瞞と行動的インターセプトを適用します。StealCがこれらのデコイを収集・持ち出そうとすると、その活動は悪意のあるものとして確実にフラグ付けされ、永続化やデータ窃盗が成功する前に悪意のあるプロセスが終了されます。
Blenderをデザイン、ゲーム、またはメディア制作のパイプラインで利用している組織は、今すぐ環境を強化し、信頼できないファイルの「Auto Run Python Scripts」機能を無効にする必要があります。また、このキャンペーンのようなインフォスティーラーを阻止できる専用の予防技術を評価することが強く推奨されます。