Source: https://www.darkreading.com/cyberattacks-data-breaches/coldriver-drops-fresh-malware-targets
🛡 概要
ColdRiverは、NATO政府や元外交官、高名なNGO関係者を標的にしたサイバー諜報キャンペーンを展開しています。特に、ロシアの国家支援を受けたハッキンググループが迅速に手法を変更できる様子が顕著です。Googleの脅威インテリジェンスグループ(GTIG)は、LOSTKEYSという高度なマルウェアプラットフォームに関する詳細を公開した後、ColdRiverはわずか5日で新しいツールを導入しました。GTIGの研究者は、今回のキャンペーンがこれまでで最も攻撃的であると述べています。
🔍 技術詳細
ColdRiverは、NOROBOTという初期マルウェアダウンローダーを中心に新しいツールキットを構築しています。このマルウェアは、ユーザーを偽のCAPTCHAルアーで騙し、悪意のあるファイルを実行させる仕組みです。一度システムにインストールされると、NOROBOTはハードコードされたC2サーバーと通信し、次のペイロードを取得してシステムを長期的に制御する準備を行います。GTIGは、NOROBOTのバージョンが複数回変更され、特に感染プロセスを理解しにくくするために暗号鍵を分割する手法を観察しています。このようにColdRiverはマルウェアの開発速度を上げ、複雑さを再導入することで、検出を難しくしています。
⚠ 影響
ColdRiverの最新のキャンペーンは、企業セキュリティチームにとって警鐘となるべき事例です。特に、攻撃者がフィッシングや資格情報収集からマルウェア展開に手法を変更した背景には、すでに侵害されたシステムからさらなる情報を収集する意図があると考えられています。これにより、攻撃者は高価値のターゲットに対して持続的なアクセスを維持し続けることが可能になります。GTIGはColdRiverの活動に関連する侵害指標やYARAルールを公開しており、これを活用することで企業は攻撃を検出・阻止できる可能性があります。
🛠 対策
企業はColdRiverのような高度な脅威に対抗するため、迅速な情報共有と対応が求められます。具体的には、GTIGが提供する指標を用いて侵害の可能性を検出し、セキュリティシステムを強化することが重要です。また、従業員に対するセキュリティ教育やフィッシング対策を強化することも不可欠です。攻撃者が新たな手法を導入する中、企業は常に最新の情報を把握し、柔軟に対応できる体制を整えることが必要です。
