記事本文(要約)
ロシアの国家支援APTグループ「Star Blizzard」がClickFix技術を用いて新しい情報窃取型マルウェアを配布しているとGoogleが警告しています。このグループは2019年から活動しており、2023年12月には米国によってロシア連邦保安局(FSB)と公に関連付けられました。2024年10月には、スピアフィッシング用の100以上のドメインが押収されています。
Googleによると、最近の攻撃キャンペーンは西側政府や軍事関係者、ジャーナリスト、シンクタンク、NGO、ウクライナ関連の個人を標的にしており、新しいマルウェアファミリー「LostKeys」を配信しています。この感染プロセスはClickFix技術を利用し、ユーザーに悪意のあるPowerShellコマンドを実行させる手法を使用しています。
LostKeysマルウェアは特定の拡張子やディレクトリからファイルを盗み、システム情報を攻撃者に送信する能力を持っています。強制的にコピーさせたコマンドを利用して、被害者に実行させる仕組みです。
Googleの分析では、この攻撃手法がより広く採用され始めたのは2024年8月からと報告されており、企業にはスクリプト実行をデフォルトで禁止するポリシーを実施するよう推奨しています。
※この要約はChatGPTを使用して生成されました。
公開日: Thu, 08 May 2025 11:55:35 +0000
Original URL: https://www.securityweek.com/google-finds-data-theft-malware-used-by-russian-apt-in-select-cases/
詳細な技術情報
この文章は、ロシアの国家支援のAPT(Advanced Persistent Threat)グループ、Star Blizzard(別名UNC4057、Callisto、Coldriver、Seaborgium)が、新しい情報窃取マルウェアを配布するためにClickFix技術を使用していることについての詳細を説明しています。以下は、この記事から得られるセキュリティに関する重要な情報です。
脆弱性の仕組みと攻撃手法
- ClickFix技術: ClickFixは、悪意のあるウェブページ上でユーザーがブラウザを終了し、コマンドを実行させる手法です。この手法では、JavaScriptコードを使って悪意あるPowerShellコマンドをクリップボードにコピーさせ、ユーザーを人間であることを確認するためにRunプロンプトを開かせ、そのコマンドを実行させます。
- 多段感染チェーン: 最初の段階でPowerShellがデバイスをチェックし、第三段階のペイロードを取得します。このペイロードが最終的に暗号化されたLostKeysマルウェアを実行します。
潜在的な影響
- 情報窃取: LostKeysマルウェアは、特定の拡張子とディレクトリにあるファイルを盗む能力があります。また、システム情報や実行中のプロセス情報を攻撃者に送信することも可能です。
- 選択的な展開: このマルウェアはかなり選択的に展開されており、特に高価値のターゲットにのみ使用されています。
推奨される対策
- ブラウザ上での警告:
- ウェブサイトがブラウザを終了させたり、デバイス上でコマンドを実行させようとする場合、ユーザーは警戒する必要があります。
- 企業ポリシーの強化:
- 最小権限の原則を実施し、デフォルトでユーザーがスクリプトを実行することを許可しないポリシーを推奨します。
- クラウドベースのフィルタリングと監視:
- HTTPトラフィックをフィルタリングして悪意のあるドメインへのアクセスを制限する。また、異常な動作や不審なファイルの転送を監視する機能を強化します。
- 教育と意識向上:
- 特に政府関係者や企業の従業員に対し、フィッシングの手口や最新の脅威についての教育を行い、被害を未然に防ぎます。
この攻撃は、国家の支援を受けたAPTグループによる高度な手法の一例であり、警戒が必要です。適切な防御策を講じることで、組織の情報資産を守ることができます。
