Source: https://thehackernews.com/2025/10/new-cavalry-werewolf-attack-hits.html
🛡 概要
ロシアの公的機関を狙った新たなサイバー攻撃「Cavalry Werewolf」が確認されました。この攻撃は、FoalShellやStallionRATといったマルウェアを用いたもので、サイバーセキュリティ企業BI.ZONEによって追跡されています。攻撃者は、キルギス政府の公式な通信を装ったフィッシングメールを用いて初期アクセスを得ており、主にロシアの国家機関やエネルギー、鉱業、製造業の企業がターゲットとなっています。
🔍 技術詳細
Cavalry Werewolfは、YoroTrooperというハッキンググループと関連しているとされ、SturgeonPhisherやSilent Lynxなどのクラスターとも共通点があります。攻撃者は、キルギスの規制当局に関連する正当なメールアドレスを悪用し、FoalShellやStallionRATを含むRARアーカイブを配布しています。FoalShellはGo、C++、C#で実装された軽量リバースシェルで、任意のコマンドをcmd.exeで実行可能です。一方、StallionRATはGo、PowerShell、Pythonで書かれ、攻撃者は任意のコマンドを実行したり、追加ファイルを読み込んだり、データをTelegramボットを通じて外部に送信したりできます。
⚠ 影響
これらの攻撃によって、ロシア国内の500社以上が影響を受けたとされます。特に商業、金融、教育、エンターテイメントの分野でのデータ漏洩が顕著で、86%のケースで攻撃者は公的なウェブアプリケーションから盗まれたデータを公開しています。攻撃者は、gs-netcatを用いて永続的なアクセスを確保し、時には追加のウェブシェルを導入することもあります。このような手法は、企業のセキュリティを深刻に脅かすものです。
🛠 対策
Cavalry Werewolfの攻撃から企業を守るためには、迅速なインサイトを得ることが重要です。セキュリティ対策として、フィッシングメールの検出能力を高めること、そして常に最新のマルウェア情報を把握することが求められます。また、ウェブアプリケーションの脆弱性を定期的にチェックし、gs-netcatや他のリバースシェルのようなツールの使用を監視することが必要です。これにより、攻撃者に対する効果的な防御策を講じることが可能になります。
