サイバーニュース.jp

世界のサイバーなニュースを配信

GOLD BLADE、データ窃取とランサムウェア展開のためのカスタムQWCryptロッカーを使用

カテゴリ:

GOLD BLADEとは:進化した脅威グループ

2024年2月から2025年8月にかけて、セキュリティ研究者たちは「GOLD BLADE」と名付けられた脅威グループによる大規模なキャンペーンを発見しました。このグループは以前、RedCurl、RedWolf、Earth Kapreとして知られていました。約40件の侵入事例を調査した結果、この脅威アクターが従来のサイバースパイ活動から、データ窃取とカスタム暗号化ツール「QWCrypt」を用いた選択的なランサムウェア展開を組み合わせたハイブリッド型運用へと進化したことが明らかになりました。

標的の地理的シフトと「Hack-for-hire」モデル

今回のキャンペーンでは、攻撃の約80%がカナダの組織を標的としており、地理的に異常な集中が見られます。これは、これまで広範な地域を標的としてきたGOLD BLADEにとって、注目すべきターゲットパターンの変化です。この北米への集中は、意図的な専門化か、特定の顧客からの要求を反映している可能性があり、GOLD BLADEが特定の顧客向けに調整された「hack-for-hire(ハック・フォー・ハイヤー)」モデルで活動していることを示唆しています。

巧妙化する初期侵入手法:採用プラットフォームの悪用

GOLD BLADEは、初期アクセス手法を段階的に洗練させてきました。従来のフィッシングメールから脱却し、より高度なアプローチとして正規の採用プラットフォームを悪用しています。2024年9月以降、脅威アクターはIndeed、JazzHR、ADP WorkforceNowなどのサービスを利用し、応募者追跡システムを介して直接悪意のある履歴書を配布しています。この戦術的な転換は、人事担当者が採用プラットフォームに抱く固有の信頼を悪用することで、従来のメールセキュリティ制御を回避します。

多段階の感染チェーンとRedLoaderマルウェア

一度開かれると、悪意のある履歴書はGOLD BLADEのカスタムマルウェア「RedLoader」を配信する巧妙な3段階の感染チェーンを起動します。2025年8月には、Sophosが脅威アクターがLinkedInを模したおとりで「Safe Resume Share Service」のテンプレートを再利用していることを確認しました。配信メカニズムは3つの異なる段階を経ており、各段階で新しい技術の組み合わせが導入されています。

  • 2024年9月:WebDAVとCloudflare Workersインフラを利用したインメモリDLL実行
  • 2025年3月〜4月:ISOファイルマウントを介した正規バイナリによるDLLサイドローディング
  • 2025年7月:これらのアプローチを組み合わせた未報告の配信チェーン

2025年4月には、セカンダリペイロードの展開がDLLからスタンドアロン実行ファイルに移行し、後のバージョンでは、スケジュールされたタスクやマルウェアのファイル名に被害者固有の識別子が埋め込まれ、展開追跡インフラが整備されていることが示されました。

QWCryptランサムウェアの詳細と防衛回避

2025年4月と7月には、SophosのアナリストがGOLD BLADEによる選択的なQWCryptランサムウェアの展開を確認しました。これは、グループが純粋なスパイ活動から「ランサムウェア・アズ・ア・プロフィット」運用へとエスカレートしたことを示します。スクリプトは、既存のシャドウコピーとPowerShellコンソール履歴ファイル(ConsoleHost_history.txt)を削除するクリーンアップ用batスクリプト(qwc_<被害者ID>_3.bat)を実行し、フォレンジックによる回復を妨害します。ランサムウェアのランチャーには、被害者固有の識別子と、自動SMB転送を介して標的環境全体に展開されるカスタマイズされた展開スクリプトが含まれています。脅威アクターは、以下のような攻撃を用いて積極的な防御回避技術を実装しています。

  • 変更されたTerminatorツールの展開
  • Bring Your Own Vulnerable Driver(BYOVD)」攻撃を介した脆弱なZemana AntiMalwareドライバーの悪用
  • レジストリ変更によるWindowsセキュリティメカニズムの無効化(脆弱なドライバーブロックリストやHypervisor-Enforced Code Integrityなど)

これにより、カーネルレベルの永続性が確立されます。

運用セキュリティの欠陥とグループの行動パターン

GOLD BLADEの運用セキュリティの欠陥からは、構造化された攻撃ツールキットが明らかになりました。コンパイルされたバイナリに残された完全なプログラムデータベースパスは、複数の開発ビルドが特定のWindowsバージョンに合わせて調整されていることを示しています。グループの活動休止期間とその後の活動バーストのパターンは、新しい攻撃チェーンの開発サイクルや外部からの報告に対する戦術的な対応を反映しています。

推奨される防御策

GOLD BLADEのハイブリッド運用モデルにより、組織はますますリスクに直面しています。この執拗で進化する脅威アクターに対する重要な防御策としては、以下の実施が挙げられます。

  • セキュアなドキュメントビューアの導入
  • 従業員に対する履歴書を介した脅威に関するトレーニング
  • オフラインバックアップの維持
  • 包括的なエンドポイント検出・対応ソリューション(EDR)の展開

元記事: https://gbhackers.com/qwcrypt-locker/

投稿をさらに読み込む