Source: https://thehackernews.com/2025/10/new-net-capi-backdoor-targets-russian.html
🛡 概要
サイバーセキュリティ研究者たちは、ロシアの自動車および電子商取引セクターを標的にした新たな攻撃キャンペーンを明らかにしました。この攻撃には、CAPIバックドアと呼ばれる未文書の.NETマルウェアが使用されています。Seqrite Labsによると、この攻撃チェーンは、感染を引き起こすためにZIPアーカイブを含むフィッシングメールを配信することを含んでいます。2025年10月3日にVirusTotalプラットフォームにアップロードされたZIPアーティファクトに基づいて分析が行われました。
🔍 技術詳細
アーカイブには、所得税法に関連する通知を装ったロシア語のダミー文書と、ZIPアーカイブと同名のWindowsショートカット(LNK)ファイルが含まれています。このLNKファイルは、合法的なMicrosoftのバイナリ「rundll32.exe」を使用して.NETインプラント「adobe.dll」を実行する役割を果たします。CAPIバックドアは、管理者権限で実行されているかどうかを確認し、インストールされたアンチウイルス製品のリストを収集し、ダミー文書を表示することで注意を逸らしながら、遠隔サーバー「91.223.75[.]96」に接続してさらなるコマンドを受信します。また、このバックドアは、ブラウザからデータを盗む機能やスクリーンショットを撮影する機能、システム情報を収集する機能を持っています。
⚠ 影響
CAPIバックドアは、Google Chrome、Microsoft Edge、Mozilla Firefoxなどのウェブブラウザからデータを盗むことができるため、個人情報や機密データが危険にさらされる可能性があります。また、仮想マシンかどうかを判断するための一連のチェックを実行し、持続性を確保するためにスケジュールされたタスクを設定したり、WindowsスタートアップフォルダにLNKファイルを作成したりします。このような手法により、攻撃者はシステムへの標的型攻撃を継続的に行うことができます。特に、自動車業界に関連する情報が狙われていることから、企業の競争力や信頼性にも影響を及ぼす可能性があります。
🛠 対策
このような攻撃から身を守るためには、まずフィッシングメールに対する警戒を強めることが重要です。信頼できる送信者からのメールでも、添付ファイルを開く前に必ず確認する習慣をつけるべきです。また、最新のアンチウイルスソフトウェアを導入し、定期的にシステムのスキャンを行うことが推奨されます。さらに、企業内でのセキュリティ教育を実施し、従業員に対してサイバーセキュリティの重要性を啓発することが重要です。特に、自動車業界の企業は、攻撃者が狙う可能性が高いため、特別な注意が必要です。
