はじめに:新たな脅威の収束
サイバー脅威が著しくエスカレートする中、Arctic Wolf Labsは、ロシアと連携するRomCom脅威グループがSocGholishマルウェアを悪用し、ウクライナとの関連が疑われる米国拠点のエンジニアリング企業を標的とした協調的なキャンペーンを確認しました。これは、RomComのペイロードがSocGholishのインフラを通じて配布された初の事例であり、2つの著名な脅威アクターの危険な連携を示唆しています。
攻撃の詳細
この事件は2025年9月に発生しました。SocGholishの主要なオペレーターであるTA569が、正規のウェブサイトを侵害し、偽のソフトウェア更新プロンプトを配信できる悪意のあるJavaScriptを注入しました。標的となったユーザーは、騙されていることに気づかず、通常のブラウザ更新プログラムと思われるものをダウンロードしました。エクスプロイトから数分以内、感染後約10分で、RomComの洗練されたMythic Agentローダーが侵害されたシステムに配信されました。
Arctic Wolfの分析によると、攻撃者は検知を回避するために難読化されたJavaScriptコードを使用しました。実行されると、ペイロードはSocGholishのコマンド&コントロールインフラとのリバースシェル接続を確立し、攻撃者に偵察とさらなるエクスプロイトのための即時リモートアクセスを許可しました。
ロシア国家の関与
調査中に発見されたフォレンジック証拠に基づき、Arctic Wolf Labsは中程度の確信度で、ロシアのGRU Unit 29155がこれらの攻撃を組織していると評価しています。SocGholishのオペレーターは、フィッシングキャンペーンに加えて、サードパーティのTraffic Direction Systems (TDS) を利用することで、2番目のより豊富なトラフィック源を獲得しています。
GRU Unit 29155は、ロシア最大の外国情報機関であり、世界のエンティティを標的とした攻撃的なネットワーク作戦を専門としています。2022年初頭以降、同部隊はウクライナへの国際援助を妨害する活動に注力しており、ウクライナ関連組織の標的化を戦略的優先事項としています。被害組織がウクライナと連携する都市のために歴史的に行ってきた活動は、RomComがウクライナとのごくわずかなつながりを持つエンティティであっても、その所在地に関係なく標的とする系統的なアプローチを浮き彫りにしています。
攻撃はかなりの技術的洗練度を示しました。初期アクセスを獲得した後、オペレーターはVIPERTUNNELを含むセカンダリペイロード、つまりカスタムPythonバックドアを展開しました。偵察コマンドは、検知回避技術を組み込んだPowerShellを使用して実行されました。永続化確立から3分以内に、脅威アクターはMythic C2(コマンド&コントロール)フレームワーク(現在では犯罪目的に転用されているレッドチームツール)への接続をテストしました。msedge.dllとして配信されたRomComローダーには、正確なターゲティングを保証するためのドメイン検証ルーチンが含まれていました。シェルコードの実行にはAES暗号化とコールバック保護技術が利用されました。
マルウェア・アズ・ア・サービス(MaaS)モデル
TA569は、SocGholishをMalware-as-a-Service (MaaS) プラットフォームとして運営し、侵害されたシステムへのアクセスを最高額を提示した犯罪者に販売しています。ESETの報告書にもあるように、ローダーはmsedge.dllという名前です。このサンプルは、システムが存在するドメインをチェックし、ハードコードされた値と一致する場合、シェルコードを復号して実行します。
過去の顧客には、Evil CorpやLockBitなどのランサムウェアグループが含まれています。SocGholish感染は、主要なランサムウェアイベントの先行指標となることが増えており、被害組織にとってのリスクを高めています。Arctic Wolf Labsは、RomComに関連する7つの悪意のあるMythic C2ドメインを特定しました。そのうち6つは2025年7月の同じ日に登録されたものです。サーバーヘッダーと登録データを使用した技術的な相関分析により、RomComの活動への強力な帰属が確立されました。
検出と対応の重要性
今回の攻撃では、Arctic WolfのAurora Endpoint DefenseプラットフォームがRomComローダーを即座に検出し隔離し、侵害されたシステムを分離して広範囲なネットワーク被害を防ぎました。SocGholishの初期アクセス操作とRomComの高度なローダー機能の収束は、脅威の状況における新たな局面を示しています。組織は、SocGholishの検出を高度な後続の侵害が起こる可能性のある高リスクインシデントとして扱い、堅牢な検出と迅速なインシデント対応の必要性を再認識する必要があります。