CAPIバックドア
サイバーセキュリティ研究者らは、ロシアの自動車業界と電子商取引業界を狙った新たなマルウェア攻撃キャンペーンを発見しました。この攻撃は、これまで文書化されていなかった.NETマルウェア(CAPIバックドアと特定)を利用しており、高度な回避策とデータ窃取技術を備えています。
目次
感染経路:フィッシングとZIPアーカイブ
感染チェーンは、ZIPアーカイブを含んだフィッシングメールから始まります。2025年10月3日付のZIPファイルを解析したところ、所得税法に関する通知を装ったロシア語のおとり文書が見つかりました。この文書には、アーカイブと同じ名前のWindowsショートカット(LNK)ファイル(Перерасчет заработной платы 01.10.2025)が添付されていました。
この LNK ファイルは、高度な脅威の攻撃者が一般的に使用する Living Off-The-Land (LotL) 手法を使用して、正規の Microsoft バイナリ rundll32.exe を介してバックドア DLL (adobe.dll) を実行します。
バックドア機能:ステルスとデータ盗難
CAPI バックドアは実行されると、ステルス性を維持しながら複数のタスクを実行します。
- 管理者権限をチェックする
- インストールされているウイルス対策製品のリストを収集します
- 気をそらすためにおとり文書を開く
- リモートサーバー(91.223.75[.]96)に接続して追加のコマンドを受信する
受信したコマンドにより、マルウェアは次のことが可能になります。
- Google Chrome、Microsoft Edge、Mozilla Firefoxなどのウェブブラウザから認証情報やデータを盗む
- スクリーンショットをキャプチャする
- システム情報を収集する
- フォルダの内容を列挙し、リモートサーバーに流出させる
回避と持続のメカニズム
CAPIバックドアは、仮想環境で実行されているか、実際のホスト上で実行されているかを判断するために、複数のチェックを行います。永続性を維持するために、以下の2つの方法を使用します。
- スケジュールされたタスクの作成
ターゲットの帰属と指標
専門家は、ドメイン carprlce.ru が使用されていることから、このキャンペーンがロシアの自動車業界と関連していると考えており、おそらく正規の carprice.ru を偽装しているものと思われます。
マルウェア自体は、主に情報窃取を目的として設計された .NET DLL であり、機密情報を盗み出しながら悪意のある操作を継続するための永続性を確立します。
