Source: https://thehackernews.com/2025/10/new-rust-based-malware-chaosbot-hijacks.html
🛡 概要
ChaosBotは新たに発見されたRust製のバックドアであり、攻撃者が被害者のPCを制御し、任意のコマンドを実行することを可能にします。カナダのサイバーセキュリティ会社eSentireによると、このマルウェアは2025年9月末に金融サービス企業の環境内で初めて検出されました。攻撃者はCisco VPNおよび特権のあるActive Directoryアカウントを利用して、ネットワーク内でリモートコマンドを実行し、ChaosBotを展開しました。
🔍 技術詳細
ChaosBotは、Discordをコマンド&コントロール(C2)として利用する点が特筆されます。攻撃者は「chaos_00019」というDiscordプロファイルを使用し、感染したデバイスにリモートコマンドを発行します。このマルウェアは、悪意のあるWindowsショートカットファイルを含むフィッシングメッセージを介して配布されることもあります。受信者がこのファイルを開くと、PowerShellコマンドが実行され、ChaosBotがダウンロードされます。マルウェアは「msedge_elf.dll」というDLLを使用してシステムの偵察を行い、ネットワークへの逆プロキシを確立します。CVEやCVSSの情報は現在のところ確認されていませんが、ChaosBotはETWや仮想マシンを回避するための手法を用いています。
⚠ 影響
ChaosBotの影響は深刻です。攻撃者は、被害者のPC名を含むDiscordチャンネルを作成し、そこからさらなる指示を受け取ります。コマンドには、PowerShell経由でのシェルコマンドの実行、スクリーンショットのキャプチャ、ファイルのダウンロード、Discordチャンネルへのファイルアップロードが含まれます。このような機能は、企業の機密情報や個人データを危険にさらす可能性があります。また、ChaosBotの新しいバリエーションは、検出回避技術を用いており、これにより企業ネットワークへの持続的なアクセスを維持することが可能です。
🛠 対策
ChaosBotの対策としては、まずはネットワークの監視と脅威検出を強化することが重要です。フィッシング対策として、従業員に対する教育を行い、不審なリンクやファイルを開かないように指導する必要があります。また、ファイアウォールやアンチウイルスソフトウェアを最新の状態に保ち、マルウェアの侵入を防ぐことも重要です。さらに、システムのバックアップを定期的に行い、万が一感染した場合に備えることが求められます。
