PR

ロシアを狙う新たなCOLDRIVERマルウェアキャンペーンの概要

Security

Source: https://thehackernews.com/2025/09/new-coldriver-malware-campaign-joins-bo.html

スポンサーリンク

🛡 概要

ロシアの高度永続的脅威(APT)グループCOLDRIVERが、新たなClickFixスタイルの攻撃を実施している。この攻撃は、BAITSWITCHとSIMPLEFIXという2つの新しい軽量マルウェアファミリーを配布することを目的としている。Zscaler ThreatLabzによると、BAITSWITCHはダウンローダーであり、最終的にPowerShellバックドアであるSIMPLEFIXを展開する。COLDRIVERは2019年から多くのセクターを標的にしており、スピアフィッシングを用いた攻撃から始まり、最近ではSPICAやLOSTKEYSといったカスタムツールを使ってその技術的な洗練度を高めている。

🔍 技術詳細

COLDRIVERは、ClickFix戦術を用いており、これによりユーザーを騙して悪意のあるDLLを実行させる。このDLLは「captchanom[.]top」という攻撃者制御のドメインに接続し、SIMPLEFIXバックドアを取得する。SIMPLEFIXは、外部サーバー「southprovesolutions[.]com」と通信し、リモートURLでホストされているPowerShellスクリプトやコマンドを実行する。CVEやCVSSに関する情報は現在確認されていないが、COLDRIVERはNGOや人権擁護者を標的にすることで知られている。

⚠ 影響

この新たな攻撃キャンペーンは、特にロシアにおける市民社会のメンバーに対して深刻な影響を及ぼす可能性がある。COLDRIVERの活動は、NGOや人権擁護者に対する監視や情報収集を目的としており、これにより被害者は個人情報の漏洩や経済的損失を被る恐れがある。また、BO TeamやBearlyfyといった他の攻撃グループとも関連しており、これらの脅威が相互に影響を及ぼすことで、ロシアの企業や団体に対するリスクが高まっている。

🛠 対策

このような攻撃から身を守るためには、ユーザー教育が重要である。特に、スピアフィッシングや偽のCAPTCHAを利用した攻撃に対する意識を高めることが求められる。さらに、最新のセキュリティパッチを適用し、マルウェア対策ソフトを導入することが推奨される。また、システムの監視を強化し、不審な活動を早期に検出する体制を整えることも重要である。

Security
スポンサーリンク