ClickFixと多段階マルウェアを組み合わせ、Havoc Demonエージェントを展開するフィッシングキャンペーン

nosa

2025.10.21

ウィークリー・サイバーラウンド・アップ

ClickFixと多段階マルウェアを組み合わせ、Havoc Demonエージェントを展開するフィッシングキャンペーン

Fortinet – March 3, 2025

ClickFixと多段階マルウェアを組み合わせ、Havoc Demonの修正版を展開するフィッシングキャンペーンをFortinetの研究者が発見した。攻撃者はマルウェアの各ステージをSharePointサイトの背後に隠し、広く認知されているサービス内へC2通信を隠蔽するためにHavoc Demonの修正版とMicrosoft Graph APIを使用。初期感染ベクターはフィッシングメールで、このメールに添付されたHTMLファイルを使うClickFix攻撃でユーザーを騙し、それぞれのターミナルにPowerShellコマンドをコピー＆ペーストさせている。続いてGitHubシェルコードローダーKaynLdrを使用し、Havoc Demon DLLを実行。修正されたHavoc Demonを悪用すると、脅威アクターはターゲットに関する情報の収集やファイルの作成・削除・修正、コマンドとペイロードの実行、トークンの操作、Kerberos攻撃の実行が可能になる。

インフォスティーラーとクリプトマイナーを用いた大規模なエクスプロイト・キャンペーン　ISPを標的に

Splunk – February 28, 2025

Splunkの研究者は、米国西海岸と中国のインターネット・サービス・プロバイダー（ISP）のインフラを標的とした大規模なエクスプロイト・キャンペーンを発見した。このキャンペーンは東ヨーロッパを出どころとしており、侵害されたホストにインフォスティーラーとXMRigなどの暗号通貨マイナーを展開することを目的としている。現在までに、4,000以上のIPアドレスが具体的な標的にされている。この攻撃では初期アクセスの際に、強度の低い認証情報に対してブルートフォース攻撃が行われ、その後に複数のバイナリが投下される。バイナリには、インフォスティーラーまたはクリプトマイナーとして機能する実行ファイルが含まれていて、SSH接続の実行にも使用される。送られたインフォスティーラーは、スクリーンショットを撮ることや、クリップボード上のデータを盗むことができ、これによって特に暗号通貨ウォレットのアドレスを検索できる。

Space PiratesがLuckyStrike Agentを用いて、ロシアのIT企業を標的にスパイ活動と認証情報窃取を行う

The Hacker News – February 27, 2025

Solarの研究者は、脅威アクターSpace PiratesによるロシアのIT組織を標的にしたスパイ活動キャンペーンの詳細を発表した。このキャンペーンでは、Microsoft OneDriveをC2として利用する、LuckyStrike Agentと呼ばれる新型の多機能.NETバックドアが用いられる。キャンペーンの中では、Deed RATや改造版Stowawayも使用された。LuckyStrike Agentは2024年11月に初めて特定されたが、標的にした組織への初期アクセスは2023年3月以前に行われていた。この間、Space Piratesは被害を受けたシステムに徐々に拡大し、おそらく既存の検出シグネチャを削除するためにツールを改造した。たとえば、改造版Stowawayは、自身のプロキシ機能のみを保持し、圧縮アルゴリズムとしてLZ4を、暗号化アルゴリズムとしてXXTEAを使用している。

Dark Caracal、PocoRATでラ米のスペイン語圏をターゲットに

Positive Technologies – 28 FEBRUARY 2025

Positive Technologiesの研究者は2024年を通じ、ラ米諸国のスペイン語圏に新しいリモートアクセス型トロイの木馬（RAT）「Poco RAT」を配布するフィッシングキャンペーンを観察した。同キャンペーンでは金銭関連の通知を装ったPDF文書をルアーにしたフィッシングメールが使われ、多くのケースで未払いの請求書や税務書類について言及している。このPDFを開くと被害者はファイル内のリンク先へリダイレクトされ、Google DriveやDropbox、あるいは偽会社にちなんで名付けられたコンテンツ配信ネットワークディレクトリにホストされたREVアーカイブが自動的にダウンロードされる。このREVアーカイブには、正当なプロセスに自らを挿入するPoco RATドロッパーが含まれている。このキャンペーンは、脅威アクターDark Caracalが2022年に開始し、Bandook RATを配信したキャンペーンの延長であると考えられている。

詐欺オペレーション「BADBOX 2.0」の一環として、BB2DOORが消費者向けローエンドデバイスにインストールされる

HUMAN – March 5, 2025

HUMANの研究者により、大規模な詐欺オペレーション「BADBOX 2.0」が発見された。これは新種のバックドア「BB2DOOR」を消費者向けローエンドデバイスに感染させるもので、このバックドアを仕込まれたデバイスはボットネットの一部となり、プログラム化された広告詐欺とクリック詐欺、あるいはアカウント乗っ取り攻撃や偽アカウント作成、DDoS（分散型サービス拒否）攻撃、マルウェア配布、ワンタイムパスワードの窃取を可能にする住宅用プロキシサービスに使用できる。100万台を超える感染デバイスが特定されており、BADBOX 2.0は感染したコネクテッドTV（CTV）デバイスのボットネットとして過去最大規模とみなされている。BADBOX 2.0の背後にはBADBOXに関与する脅威アクターの存在があると思われ、BB2DOORの感染も同じようにデバイスの電源が入るとすぐに始まる。また、BB2DOORはVo1dマルウェアとの関連も指摘されている。研究者らはさらに、BADBOX 2.0との関与が疑われる4組の脅威アクター（SalesTracker Group、MoYu Group、Lemon Group、LongTV）を特定した。