Source: https://thehackernews.com/2025/09/countloader-broadens-russian-ransomware.html
🛡 概要
最近、サイバーセキュリティ研究者たちは、ロシアのランサムウェアグループによって使用されている新たなマルウェアローダー「CountLoader」を発見しました。このローダーは、Cobalt StrikeやAdaptixC2、PureHVNC RATなどのポストエクスプロイトツールを配信するために使用されています。CountLoaderは、Initial Access Broker (IAB)のツールセットの一部として、またはLockBit、Black Basta、Qilinといったランサムウェアグループに関連するアフィリエイトによって利用されています。
🔍 技術詳細
CountLoaderは、.NET、PowerShell、JavaScriptの3つの異なるバージョンで現れ、ウクライナの個人をターゲットにしたPDFベースのフィッシング攻撃で確認されています。特に、PowerShellバージョンはKasperskyによって以前に警告されており、DeepSeek関連のダミーを使用してユーザーを騙してインストールさせる手法が取られています。最新のキャンペーンでは、BrowserVenomというインプラントが展開され、攻撃者がネットワークトラフィックを操作し、データを収集するためのプロキシを強制するように構成されます。
JavaScriptバージョンは最も機能が充実しており、ファイルのダウンロードに6つの異なる手法を提供し、さまざまなマルウェアバイナリを実行するための3つの手法を持っています。また、Windowsドメイン情報に基づいて被害者のデバイスを特定するための事前定義された関数も備えています。CountLoaderは、システム情報の収集、ホスト上での永続性の確立、リモートサーバーへの接続などを行うことができ、rundll32.exeやmsiexec.exeを使用してDLLやMSIインストーラーのペイロードをダウンロード・実行します。
⚠ 影響
CountLoaderの影響は広範囲に及びます。特に、ウクライナの国民をターゲットにした攻撃は、国家の安全保障に対する脅威を引き起こしています。マルウェアがネットワークトラフィックを操作する能力は、被害者の重要なデータを危険にさらし、さらに悪化させる可能性があります。CountLoaderは、Cobalt StrikeやAdaptixC2などの商業的なツールを介して、他の悪意のある活動を促進する役割を果たしており、ランサムウェアの配信にも利用されています。このような攻撃の増加は、企業や個人に対するセキュリティリスクを高め、データ漏洩や財務的損失の可能性を増加させます。
🛠 対策
CountLoaderの脅威に対抗するためには、組織と個人がセキュリティ対策を強化することが重要です。まず、フィッシング攻撃を防ぐための教育を受けることが不可欠です。特に、疑わしいメールやリンクには注意を払い、常に確認することが求められます。また、最新のアンチウイルスソフトウェアを使用し、システムを常に最新の状態に保つことが重要です。さらに、ネットワークトラフィックを監視し、不審な活動を早期に発見するための侵入検知システムを導入することも有効です。最後に、バックアップ戦略を確立し、重要なデータを定期的に外部ストレージに保存することで、ランサムウェア攻撃の影響を軽減することができます。
