Source:https://thehackernews.com/2025/11/bloody-wolf-expands-java-based.html
🛡 概要
脅威アクター「Bloody Wolf」によるフィッシング主導の侵害キャンペーンが、少なくとも2025年6月からキルギスで観測され、10月にはウズベキスタンにも拡大しました。金融、政府、IT部門が狙われ、正規の官公庁を装ったPDFやドメインを用い、Java Archive(JAR)ローダーを介してNetSupport RAT(NetSupport Managerの古い版)を配信します。ウズベキスタン向け配信ではジオフェンシングにより国外アクセスを正規サイトへリダイレクトする巧妙さも確認されています。
🔍 技術詳細
本件の侵入チェーンは一貫しています。攻撃者はキルギスの司法省になりすました文面・PDF・ドメインを用いたスピアフィッシングを送り、受信者がPDF内のリンク(または同梱リンク)をクリックするとJARローダーがダウンロードされます。メールでは「文書閲覧にJava Runtimeの導入が必要」と説明されますが、実際にはユーザー操作でJavaを入れ、JARを実行させることが狙いです。起動したJARローダーは攻撃者管理インフラから次段のNetSupport RATペイロードを取得し、以下の永続化を確立します。
- Windowsのスケジュールタスクを作成
- Windowsレジストリ(Run系)に値を追加
- %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup にバッチファイルを配置
ウズベキスタン向け配信では、ジオフェンシングにより国内発信の要求のみがPDFに埋め込まれたリンクからJARを取得し、国外からは data.egov[.]uz へリダイレクトされる挙動が観測されています。JARローダーはJava 8(2014年リリース)でビルドされており、攻撃者がカスタムのJARジェネレータやテンプレートを用いて生成していると推測されています。NetSupport RATのペイロードは2013年10月版の古いNetSupport Managerに基づくものが使われています。これらの要素は、安価で入手容易なツールと社会工学を組み合わせ、運用の足跡を最小化しつつ地域特化で効果を上げるという攻撃方針を示しています。
⚠ 影響
端末がNetSupport RATで制御されると、キーロギング、画面・ファイル操作、プロセス起動など広範な遠隔操作が可能となり、機密情報の窃取、業務妨害、追加マルウェア配信の足掛かりになります。官公庁ドメインを模したブランドなりすましは、従業員の信頼を悪用して開封率を高め、組織的な誤配布や誤認を誘発します。特に金融・政府・ITの業務端末で発生した場合、広範な業務停止と第三者への二次被害(データ漏えい・詐欺)が連鎖する恐れがあります。CVEsに基づく脆弱性悪用は本件の主軸ではなく、主にユーザー実行とローダーによるペイロード取得・永続化で成立します(CVSS該当なし)。
🛠 対策
- メール・Web対策(CIS Control 9/10、NIST CSF PR.AT/PR.DS/PR.IP):官公庁名義メールのDMARC・SPF・DKIM整合性検証、URLリライト・サンドボックス実行でJARダウンロードを遮断。誤クリックを前提とした多層防御を導入。
- Java実行の制御(CIS Control 2/4、NIST CSF PR.AC/PR.MA):業務で不要なJava Runtimeのアンインストール、WDAC/AppLockerでjava.exe/javaw.exeの実行をホワイトリスト方式に制限。JARのダブルクリック起動を無効化。
- 永続化監視(CIS Control 8/13、NIST CSF DE.CM):スケジュールタスク作成、Runキー変更、スタートアップフォルダへの書き込みを監査・検知。新規作成直後の外向き通信を相関検知。
- ネットワーク監視(CIS Control 13、NIST CSF DE.AE):未知ドメインへの初回接続や長時間セッション、ユーザー端末からの異常なRAT様通信を検出。地理的ターゲティングを踏まえ、国別の異常トラフィックも監視。
- インシデント対応(NIST CSF RS.MI/RS.CO):感染端末の隔離、認証情報の無効化、タスク・レジストリ・スタートアップの復旧、Proxy/DNSでの配信インフラ遮断。EDRのIOC/IOA更新。
📌 SOC視点
- プロセスツリー:メールクライアント/ブラウザ → java.exe/javaw.exe → 子プロセス生成・持続化設定 → 新規外向き通信。これらの連鎖をルール化。
- ファイル/レジストリ:%APPDATA%配下のStartupへのバッチ書き込み(Sysmon EID 11)、Runキー変更(Sysmon EID 13)、不審なタスクXML/登録(Windows Security 4698 または TaskScheduler/Operational 106/140)。
- ネットワーク:Java実行直後のHTTP/HTTPSダウンロード(Sysmon EID 3)。国外アクセス時の正規サイトリダイレクトと、国内限定でのJAR配布というパターン差も相関。
- 振る舞い検知:新規永続化の直後に未知バイナリの常駐・自己復元、ユーザー領域からのRAT起動、希少ドメインへの反復接続。
- 遅延指標:勤務時間外のタスク起動、端末再起動直後の不審通信、ブラウザ操作と無関係な継続セッション。
📈 MITRE ATT&CK
- TA0043 Resource Development – T1583.001 Acquire Infrastructure: Domains(官公庁を模したドメインの取得・運用に該当)
- TA0001 Initial Access – T1566.001 Spearphishing Attachment / T1566.002 Spearphishing Link(PDF添付やPDF内リンクでの誘導)
- TA0002 Execution – T1204.002 User Execution: Malicious File(ユーザーにJava Runtime導入とJAR実行を促す)
- TA0003 Persistence – T1053.005 Scheduled Task(スケジュールタスク作成)、T1547.001 Registry Run Keys/Startup Folder(RunキーとStartupフォルダでの自動起動)
- TA0011 Command and Control – T1105 Ingress Tool Transfer(ローダーが攻撃者インフラからペイロード取得)
- TA0011 Command and Control – T1219 Remote Access Software(NetSupport RATという市販リモート管理ツールの悪用)
上記はいずれも、報告にあるJARローダーによるNetSupport RAT配布、永続化3手法、フィッシング様式、攻撃インフラ利用の記述に整合します。
🏢 組織規模別助言
- 小規模(〜50名):メールゲートウェイのURL/添付サンドボックスを有効化し、Java実行を原則禁止。EDRはマネージド運用(MDR)で監視を委託し、Runキー変更・タスク作成の検知を優先設定。
- 中規模(50〜500名):WDAC/AppLockerでjava.exe/javaw.exeを業務端末で許可制に。疑似ドメイン検出(文字列類似・新規登録ドメイン)をSWG/DNSでブロック。SOARでタスク作成検知→端末隔離の半自動化。
- 大規模(500名以上):メールとWebのセキュリティ制御をSSE/SASEで統合し、地理属性・ユーザー行動分析(UBA)を相関。EDR/NPBでJava由来トラフィックをラベリングし長期セッションを検出。レッドチームでJAR経路のテーブルトップ演習を実施。
🔎 類似事例
- 同一アクターによるカザフスタン/ロシア向けスピアフィッシングとSTRRAT/NetSupportの併用(2023年末以降)
- 犯罪系キャンペーンがNetSupport RATをフィッシングで配布した過去事例(地域・業種横断、2019–2020頃)
- ジオフェンシングで配布を地域限定し、国外には正規サイトへリダイレクトする攻撃手口の横展開
- JARローダーを用いたユーザー実行依存の多段ローダー型攻撃
🧭 次の一手
まず、メール・WebゲートウェイでのJAR配布遮断と、エンドポイントでのjava.exe/javaw.exe実行制御(WDAC/AppLocker)を直ちに実装してください。次に、スケジュールタスク作成・Runキー変更・Startup書き込みの監査を有効化し、相関ルールをSOCで配備。最後に、役所名義の偽装メールを想定したフィッシング訓練と、インシデント時の隔離・復旧手順(レジストリ/タスク/スタートアップの復旧、認証情報リセット)を文書化・演習してください。技術的詳細やハンティング手順の深掘りとして、Java実行制御のベストプラクティスと、永続化の検知プレイブックを続けて確認すると効果的です。
