複数ライセンス割引見積
脅威データベース マルウェア CountLoaderマルウェア

CountLoaderマルウェア

マルウェアMezoまで
翻訳内容:

サイバーセキュリティアナリストは、海賊版ソフトウェアを提供するウェブサイトを悪用し、CountLoaderと呼ばれる隠蔽型モジュールローダーの最新亜種を拡散する新たなマルウェア配布キャンペーンを発見しました。クラッキングされたアプリケーションを探しているユーザーを狙うことで、攻撃者はステルスアクセス、防御の回避、そして段階的に追加の悪意あるツールを配布するための最初の足掛かりを得ています。

多段階侵入におけるCountLoaderの役割

このキャンペーンにおいて、CountLoaderはより広範な攻撃チェーンの最初のコンポーネントとして機能します。以前の調査では、このローダーがCobalt Strike、AdaptixC2、PureHVNC RAT、Amatera Stealer、PureMinerなど、様々な二次ペイロードを展開できることが既に示されています。証拠は、CountLoaderが少なくとも2025年6月以降、実際の攻撃で積極的に使用されていることを示唆しており、その成熟度と継続的な開発を裏付けています。

偽のダウンロードからサイレント実行まで

感染シーケンスは、被害者がMicrosoft Wordなどの正規ソフトウェアのクラック版をダウンロードしようとした際に始まります。約束されたアプリケーションではなく、MediaFireがホストするZIPアーカイブにリダイレクトされます。このアーカイブには、暗号化されたZIPファイルと、それを開くために必要なパスワードが便利なWord文書という2つの重要なアイテムが含まれています。

保護されたアーカイブ内には、Setup.exe という名前に変更された正規の Python インタープリタが含まれています。この実行ファイルは、mshta.exe を利用してリモートサーバーから CountLoader バージョン 3.2 を取得し、密かに侵入を開始する悪意のあるコマンドを実行するように設定されています。

欺瞞と環境認識による粘り強さ

長期的なアクセスを確保するため、マルウェアは正規のマルウェアに見えるように設計されたスケジュールタスクを作成することで永続性を確立します。タスク名は「GoogleTaskSystem136.0.7023.12」で、その後に一意の識別子に似た文字列が続きます。このタスクは10年間30分ごとに実行するように設定されており、mshta.exeを起動し、必要に応じてフォールバックドメインを使用します。

CountLoaderは、永続化メカニズムを完成させる前に、Windows Management Instrumentation(WMI)を介してウイルス対策インベントリを照会し、システムに特定のセキュリティ製品が存在するかどうかを確認します。ツールが検出された場合、ローダーは実行方法を巧妙に変更し、 cmd.exe /c start /b mshta.exe を使用します。ツールが検出されない場合は、 mshta.exe を使用してリモートURLに直接アクセスすることで、摩擦と疑念を最小限に抑えます。

拡張機能とモジュール機能

CountLoaderは一度確立されると、感染ホストのプロファイリングを行い、必要に応じて追加のペイロードを取得します。最新バージョンでは、リムーバブルUSBドライブを介した拡散や、mshta.exeまたはPowerShellを使用してメモリ内で直接悪意のあるコードを実行する機能など、新たな機能が導入されています。サポートされる機能は以下の通りです。

  • リモート URL から実行可能ファイルを取得して実行する
  • ZIPアーカイブをダウンロードし、埋め込まれたPythonモジュールまたはEXEファイルを実行する
  • DLL ファイルを取得し、rundll32.exe 経由で起動する
  • MSIパッケージのダウンロードとインストール
  • フォレンジックの痕跡を減らすために、スケジュールされたタスクを削除する
  • 詳細なシステム情報の収集と流出
  • 隠されたオリジナルファイルと並行して悪意のあるLNKファイルを作成し、リムーバブルメディアを介して拡散する。コマンドアンドコントロールパラメータを使用してmshta.exe経由で正規のファイルとマルウェアの両方を実行する。
  • 攻撃者が制御する URL に対して mshta.exe を直接呼び出す
  • リモート PowerShell ペイロードを完全にメモリ内で実行する

最終ペイロード:ACR Stealer

観測された攻撃チェーンにおいて、CountLoaderは最終的にACR Stealerを配信しました。これは、侵害されたシステムから機密データを盗み出すことを目的とした情報窃取型マルウェアです。この最終段階では、海賊版ソフトウェアを使った最初の誘いが、本格的なデータ窃取作戦へと発展します。

このキャンペーンが擁護者に示唆するもの

この攻撃は、CountLoaderの継続的な進化と高度化を実証しています。Pythonインタープリタの悪用、スケジュールされたタスクの偽装、署名付きバイナリの悪用、そしてファイルレスのメモリ内実行といった要素が組み合わさり、よりステルス性の高い侵入手法への広範な移行を反映しています。防御側にとって、この攻撃は、プロアクティブな監視、多層的なセキュリティ管理、そして特に不正なソフトウェアやクラッキングされたソフトウェアのダウンロードに伴うリスクに対するユーザーの意識向上の重要性を改めて認識させるものです。

トレンド

CPanelアカウント停止メール詐欺

フィッシング, スパム
サイバー犯罪者は、詐欺行為を信憑性のあるものに見せるために、信頼できる技術用語やサービスを悪用することがよくあります。cPanelアカウント停止メール詐欺は、まさにこの戦術の好例です。この詐欺メールは、受信者に不安を煽る言葉遣いで、迅速な行動を迫ろうとしています。これらのメールは完全に詐欺であり、cPanelやMicrosoft Outlookを含む、正当な企業、組織、サービスプロバイダーとは一切関係がありません。 虚偽の停止請求の説明 詐欺メッセージは、受信者のアカウントで不審なアクティビティまたは不正なアクティビティが検出されたと主張しています。メールによると、アカウントはセキュリテ...

Webmotion.co.in

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
欺瞞的なサイトや強引な広告スキームが進化を続ける中、ウェブを閲覧する際には常に注意を払うことが不可欠です。脅威アクターは、正規の機能を模倣したページを日常的に作成し、ユーザーを危険な行動に誘い込み、望ましくないコンテンツを密かにプッシュします。Webmotion.co.in はそのようなドメインの一つであり、訪問者を操り、有害なコンテンツにさらすために作成された信頼できないページです。 侵入...

EtherRATマルウェア

リモート管理ツール, 高度な持続的脅威 (APT)
最近発見された北朝鮮の工作員に関連する脅威キャンペーンは、React2Shell(RSC)の重大な脆弱性を悪用し、これまで知られていないリモートアクセス型トロイの木馬「EtherRAT」を展開していると考えられています。このマルウェアは、Ethereumスマートコントラクトをコマンドアンドコントロール(C2)ワークフローに組み込み、Linuxに複数の永続化レイヤーをインストールし、展開時に独...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
47,630
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
36,170
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Discord 灰色の画面で立ち往生

問題
35,305
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
読み込んでいます...