Source:https://thehackernews.com/2025/11/operation-endgame-dismantles.html
🛡 概要
EuropolとEurojust主導の国際共同作戦「Operation Endgame」の新段階(2025年11月10〜13日)で、Rhadamanthys Stealer、Venom RAT、Elysiumボットネットのインフラが大規模に撹乱・摘発されました。11月3日にはVenom RATの主要容疑者がギリシャで逮捕。1,025超のサーバー停止、20ドメイン差し押さえが実施され、数十万台規模の感染端末と数百万件の認証情報が押収・無力化の対象となりました。なお、今回の「Elysium」がRhadamanthys関係者(RHAD security/別名Mythical Origin Labs)が最近宣伝していたプロキシ型Elysiumと同一かは未確定です。今回の摘発はインフラと流通網(初期侵入ブローカー/ローダー/インフォスティーラー)を狙い撃ちし、ランサムウェア経済の“前段”に打撃を与えることを狙っています(CVSSは本件に直接適用なし:摘発事案であり特定CVEの公表は現時点でありません)。
🔍 技術詳細
Rhadamanthys Stealerはブラウザやアプリケーションの保存情報(ログイン資格情報、Cookie、オートフィル、暗号資産ウォレット等)を収集・外送する情報窃取型マルウェアです。2025年の最新世代は、端末・ブラウザのフィンガープリント収集や、検出回避のための難読化・サンドボックス回避などの仕組みを強化。Shadowserverによれば、2025年3月〜11月の間に226の国・地域で525,303件の一意の感染を観測し、合計8,620万件超の情報窃取イベントを確認しました(約6.3万のIPがインド所在)。Europolはインフォスティーラーの主犯が10万以上の被害者ウォレットにアクセス可能だったと述べており、多額の損失リスクが示唆されます。Rhadamanthysは侵入後、ブラウザのSQLiteデータベースやOS秘匿ストアから資格情報を抽出し、HTTP/HTTPSなどの一般的なプロトコルでC2へ外送する設計が一般的です。フィンガープリント機能の追加は、被害端末の識別精度向上やアンチ分析に寄与します。
Venom RATはキーロギング、リモートコマンド実行、ファイル操作、持続化(スタートアップ/レジストリRunキーなど)を備える遠隔操作型マルウェアで、初期侵入後に横展開や追加ペイロード投下の足掛かりになり得ます。Elysiumはプロキシ型ボットネットとして、被害端末の回線を踏み台化し、攻撃者の匿名化・配信インフラとして悪用されることがあります。今回のインフラ無力化に伴い、シンクホール化・ドメイン差押えによるC2遮断が行われ、感染端末からは差押えドメインへの接続試行やDNS失敗のログが増える可能性があります。またShadowserverは、Rhadamanthys感染端末では二次感染(他マルウェアの投下)が併存している恐れを指摘しており、ローカルでの追加的な除去・調査が必要です。
⚠ 影響
・資格情報漏えい:企業アカウント、SSO/Cookie、APIキー、暗号資産ウォレットなどが不正取得され、継続的な不正ログインや不正送金に発展する恐れ。
・残留リスク:インフラ撹乱後も端末側の感染は残存し得るため、C2遮断は「被害の顕在化」を示すシグナルに過ぎません。
・二次被害:既存セッションの悪用、内部横展開、ランサムウェア侵入の足場化。
・規模拡大:1,025超のサーバー停止・20ドメイン差押えにより、多数の組織で同時にアラートが増加する可能性。
🛠 対策
・緊急対応:ブラウザ保存パスワードの強制変更、SSO・IdP全セッション強制失効、OAuth/ PAT/APIキーのローテーション、暗号資産ウォレットの移管(シード再生成)。
・端末除去:EDRでRAT/インフォスティーラー/ローダーの完全駆除、スタートアップ・タスクスケジューラ・レジストリRunの見直し、疑わしいブラウザ拡張の削除。
・ネットワーク:差押え・シンクホールIOCへの通信試行端末を優先隔離・再イメージ、HTTPSのSNI/JA3/ドメイン照合でC2類似通信の検知強化、不要なアウトバウンドのEgress制御。
・メール/ウェブ:添付・URLフィルタリング、広告配信経由のマルバタイジング対策(拡張の許可リスト化、SmartScreen同等の保護有効化)。
・継続対策:ユーザー教育(保存パスワードの危険性)、最小権限、アプリ許可リスト、脆弱なソフト禁止、定期的な資格情報監査とダークウェブ監視。
📌 SOC視点
・EDR/ログ監視:
– プロセス生成(Sysmon ID 1/Windows 4688)でブラウザプロセス配下の不審子プロセス(圧縮/スクリプト/RATドロッパ)。
– ファイルアクセス(Sysmon 11)でブラウザのLogin Data/Cookies/Local State等のSQLiteやキーチェーンへの異常アクセス。
– レジストリ変更(Sysmon 13)でRun/RunOnce/Policiesの自動起動追加。
– ネットワーク(Sysmon 3)とDNS(Sysmon 22)で差押え/シンクホールIOCへの反復接続やHTTP(S) Beacon。
– セキュリティ製品停止(サービス変更/ドライバ無効化)の痕跡。
・ハンティングの観点:最近のアラート増分と一致する端末群の共通祖先プロセス、広告クリック直後のダウンロード実行、ZIP/LNK/ISO経由起動の相関。
・注意:差押えドメインへの通信検知は「感染指標」であり、直ちに端末隔離と完全なメモリ・ディスク・ブラウザプロファイルのトリアージを実施。
📈 MITRE ATT&CK
・Initial Access: T1566.002(フィッシングリンク)、T1189(ドライブバイ/マルバタイジング)
・Execution: T1204(ユーザー実行)
・Persistence: T1547.001(レジストリRun/スタートアップ)
・Defense Evasion: T1027(難読化/パッキング)、T1562(防御回避/無効化)
・Discovery: T1082(システム情報収集)
・Credential Access: T1555(パスワードストアからの資格情報)、T1552(平文・構成からの資格情報)
・Collection: T1005(ローカルデータ収集)、T1056(キーロギング:RAT系)
・Command and Control: T1071.001(Web通信/HTTP(S))、T1090(プロキシ/踏み台:Elysiumの性質と合致)
・Exfiltration: T1041(C2経由の外送)
🏢 組織規模別助言
・小規模(〜50名):マネージドEDR/メールセキュリティの外部委託、保存パスワード全面禁止、パスワードマネージャ導入、影響端末は再イメージ優先。
・中規模(50〜500名):EgressフィルタとDNSセーフリスト、IdPで全社強制ログアウトと端末信頼度再評価、拡張の強制インベントリと承認制。
・大規模(500名以上):脅威インテリジェンス(IOC/TTPS)連携の自動封鎖、ブラウザエンタープライズ管理、リスクベース認証、脅威ハンティングチームによる横断検索(Cookie/Tokensの失効管理を自動化)。
🔎 類似事例
・Operation Endgame(2024):IcedID/Smokeloader/Pikabot/TrickBot/Bumblebee等のローダー群を対象に欧州当局が大規模撹乱。
・Operation Duck Hunt(2023):FBI等によるQakBotテイクダウン。
・配布手口で多用された脆弱性例(本件に特定紐づけは未確定):CVE-2023-38831(WinRAR)、CVE-2024-21412(Windowsのセキュリティ機能バイパス)。
🧭 次の一手
1) 差押え/シンクホールIOCに対する全端末の通信ログを即時照会し、該当端末を隔離。2) ブラウザ保存情報・SSO・APIキーの強制ローテーションを72時間以内に完了。3) EDRの脅威ハンティングでRAT/インフォスティーラー/ローダー痕跡を全社横断検索し、持続化の根絶を確認。4) メール/ウェブ保護とEgress制御を見直し、マルバタイジング対策を恒久化。5) 進展(Europol/Shadowserverの追加IOC)を継続追跡し、検知網を更新。
