Source: https://thehackernews.com/2025/10/batshadow-group-uses-new-go-based.html
🛡 概要
バットシャドウグループは、求職者やデジタルマーケティング専門家を狙った新たな攻撃キャンペーンを展開しています。このキャンペーンでは、未文書化のマルウェア「Vampire Bot」を使用し、ソーシャルエンジニアリング手法を駆使して被害者を欺いています。攻撃者はリクルーターを装い、悪意のあるファイルを求職情報や企業文書に偽装して配布します。これにより、ユーザーがファイルを開くと、Goベースのマルウェアの感染チェーンが始まります。
🔍 技術詳細
今回の攻撃は、ZIPアーカイブを使用して偽のPDF文書と悪意のあるショートカット(LNK)や実行可能ファイルを組み合わせてユーザーを誘惑します。LNKファイルが起動されると、埋め込まれたPowerShellスクリプトが外部サーバーに接続し、マリオットのマーケティング職の求人情報を含むPDFをダウンロードします。このスクリプトは、XtraViewerに関連するファイルを含むZIPファイルもダウンロードし、感染したホストに持続的なアクセスを確立することを目的としています。Vampire Botは、感染したホストのプロファイルを作成し、情報を盗むほか、スクリーンショットを一定の間隔でキャプチャし、攻撃者が制御するサーバーと通信を維持します。
⚠ 影響
バットシャドウグループによる攻撃は、特にデジタルマーケティング専門家にとって深刻な影響を及ぼします。感染したシステムは、個人情報やビジネスデータが盗まれる危険性が高く、これは企業の信頼性やブランド価値を損なう可能性があります。また、Vampire Botはシステムの監視、データの流出、リモートタスクの実行を可能にするため、攻撃者は長期的に被害を与えることができます。さらに、過去のデータからも、バットシャドウグループはベトナムに由来する攻撃者であり、フィッシングメールを使用した巧妙な攻撃手法が知られています。
🛠 対策
バットシャドウグループの攻撃から身を守るためには、慎重な行動が必要です。まず、求職情報や企業文書を受け取った際には、送信者の信頼性を確認することが重要です。また、ファイルを開く前に、ウイルススキャンを実施することを推奨します。さらに、最新のセキュリティパッチを適用し、セキュリティソフトウェアを導入することで、マルウェアの感染を防ぐことができます。特に、PowerShellのスクリプトや外部サーバーとの通信を制限する設定を行うことで、リスクを低減できるでしょう。
