🛡 概要
ロシアの国家支援を受けたハッカーグループ「Star Blizzard」は、新たなマルウェアファミリーNoRobotやMaybeRobotを展開し、複雑な配信チェーンを通じて攻撃を強化しています。これらの攻撃は、ClickFixと呼ばれるソーシャルエンジニアリング攻撃から始まり、ターゲットを「私はロボットではありません」というキャプチャチャレンジに誘導して実行させる手法を用いています。特に、ColdRiverとしても知られるこのグループは、LostKeysマルウェアを公開された直後に放棄し、新たな悪意のあるツールを展開することで、より積極的な攻撃を行っています。
🔍 技術詳細
Googleの脅威インテリジェンスグループ(GTIG)は、ColdRiverが新たにデプロイしたNOROBOTについて詳しく分析しています。NOROBOTは、偽のCAPTCHAページを通じて配信され、ターゲットがrundll32を介して実行するように仕向けられます。このマルウェアは、レジストリの変更やスケジュールタスクを通じて持続性を獲得し、YESROBOTというPythonベースのバックドアを準備するためにPython 3.8のインストールを取得します。しかし、YESROBOTはすぐに放棄され、MAYBEROBOTというPowerShellスクリプトに置き換えられました。MAYBEROBOTは、ペイロードのダウンロードやコマンド実行を行う機能を持ち、最終的には複数のコマンド&コントロール(C2)経路に結果を送信します。
⚠ 影響
ColdRiverの攻撃は、特に西側政府やジャーナリスト、シンクタンク、NGOを標的にしており、サイバーエスピオナージの目的で活動しています。これにより、機密情報の漏洩やデータの損失が懸念されています。また、攻撃者は以前のフィッシング攻撃によって既に侵入したターゲットに対して再度攻撃を行い、さらなる情報を獲得しようとしています。このような手法は、被害者のデバイス上の情報を直接取得するために行われており、情報セキュリティの観点から非常に危険です。
🛠 対策
防御策としては、Googleのレポートに記載されたIoC(侵害の指標)やYARAルールを活用することが重要です。また、従来のフィッシング攻撃に対する警戒を強め、ClickFix攻撃の兆候を監視することが求められます。組織内のセキュリティ教育を強化し、従業員に対して新たな攻撃手法に関する認識を高めることも効果的です。さらに、定期的なシステムの更新やパッチ適用を行い、脆弱性を最小限に抑えることが重要です。
