偽のマルウェアビルダーで18,000超の「スクリプト キディ」がバックドアに感染

1月24〜27日：サイバーセキュリティ関連ニュース

偽のマルウェアビルダーで18,000超の「スクリプト キディ」がバックドアに感染

BleepingComputer – January 24, 2025

ある脅威アクターがトロイの木馬化されたXWorm RATビルダーを使い、スキルの低いハッカー「スクリプトキディ」にバックドアを感染させてデータを盗み出している。

スクリプトキディとは、サイバー犯罪の世界に足を踏み入れたばかりの新参ハッカー。マルウェアを自作する知識や技術を持たないため、他人が作成したマルウェアやツールを入手して不正な活動を行う。今回のキャンペーンでは、「無料で利用可能なマルウェアビルダー」と謳ってこの偽XWorm RATビルダーが宣伝され、これに騙されたスクリプトキディたちが被害に遭っている。

CloudSEKのセキュリティ研究者によると、感染したデバイスは世界中で18,459台に及ぶとのこと。このマルウェアはブラウザーの認証情報やDiscordのトークン、Telegramのデータ、システム情報などの機微データを盗むことが可能で、被害の大半はロシア、米国、インド、ウクライナ、トルコで発生しているという。

感染ベクターとしては、GitHubリポジトリ、ファイルホスティングプラットフォーム、Telegramチャンネル、YouTube動画、Webサイトなどさまざまな経路が確認されている。XWormマルウェアは感染するとWindowsレジストリをチェックし、仮想環境で実行されている兆候を確認。ホストが感染の条件を満たしている場合は必要なレジストリ変更を行い、システムが起動するたびにペイロードを自動的に実行して継続的なアクセスを確保する。

また、このマルウェアには自らをアンインストールするキルスイッチが組み込まれており、CloudSEKの研究者はハードコードされたAPIトークンと同スイッチを使って駆除を試みたようだ。しかし、コマンド送信時にオンラインでなければならないといった制限があるため、すべて除去できたわけではないと警告している。

北朝鮮の偽IT技術者、より強硬な戦術で企業を脅迫するように

SecurityWeek – January 24, 2025

米国の企業や組織に偽のIT技術者を送り込む北朝鮮のオペレーションは、これまで以上に強硬な戦術を用いるようになっている。FBIとGoogle系セキュリティ企業Mandiantから先日発表された警告で明らかになった。

FBIによると、北朝鮮の偽ITワーカーはサイバー犯罪を助長し、母国政権に利益をもたらすさまざまな活動に従事。米企業・組織のネットワークに侵入して機微データを盗み、これらを人質に身代金の支払いを要求するだけでなく、場合によっては盗んだデータやコードを公開しているようだ。また、コードリポジトリをコピーしてコード盗難のリスクをもたらし、企業の認証情報やセッションCookieを収集してさらなる侵害を試みる危険性もあると説明された。

この戦術の進化は2024年半ばに初めて確認され、元雇用主に暗号資産払いで6桁の身代金を要求した個人もいたという。こうした攻撃性の高まりについて、Mandiantの主席アナリストMichael Barnhart氏は、北朝鮮のIT労働者に対する起訴や制裁に加え、メディア報道が増えたことの「残念な副産物」と表現し、スキームの成功に支障が生じるようになった反動だと述べている。

【無料配布中！】脅威アクターレポート

脅威アクターレポート：『Actor Profile : CyberVolk. group』

2024年9月〜10月にかけて日本の組織に対して真偽の疑わしいサイバー攻撃声明を繰り返した脅威アクター「CyberVolk. Group.」。弊社アナリストが同アクターによる過去の投稿データをもとにその目的、能力、動機、提携グループ、支援国を分析したレポート『Actor Profile : CyberVolk. group』を、以下のバナーより無料でダウンロードいただけます。

＜レポートの主なトピック＞

• 要点
• グループ概要
  ✔️攻撃声明
  ⚪︎DDoS攻撃声明
  ⚪︎サイバー恐喝
  ⚪︎その他日本の組織への攻撃声明
  ✔️他グループへの協力呼びかけ
  ⚪︎他の不法コミュニティでの悪評
  ✔️ランサムウェア等の宣伝
• 評価