LOSTKEYSマルウェア
ロシアに関連する脅威アクター「COLDRIVER」は、ツールキットを拡張し、従来の認証情報フィッシング攻撃の枠を超えています。最近、このグループは標的型スパイ活動において、LOSTKEYSと呼ばれる新たなマルウェアを展開しているのが確認されました。これは、 SPICAに続き、COLDRIVERに関連する2番目のカスタムマルウェアとなります。Callisto、 Star Blizzard 、UNC4057などの別名でも追跡されているCOLDRIVERは、認証情報の窃取、メールの流出、連絡先リストの収集で悪名高いマルウェアです。現在、その戦略には、システムファイルやデータにアクセスするための選択的なマルウェア展開が含まれています。
目次
LOSTKEYSの正体:ステルス性の高い標的型脅威
LOSTKEYSは、特定のディレクトリ内のファイル、実行中のプロセス、システムの詳細など、機密情報を密かに盗み出すように設計されています。2025年1月、3月、4月に攻撃活動に投入されました。標的には、西側諸国の政府および軍の現職および元顧問、ジャーナリスト、シンクタンク、NGO、ウクライナ関係者などが含まれています。注目すべきは、このマルウェアが選択的に展開され、高度な標的型攻撃での使用が強調されている点です。
ソーシャルエンジニアリング2.0:ClickFix接続
感染チェーンは、おとりウェブサイトにホストされた偽のCAPTCHAプロンプトから始まります。被害者はWindowsの「ファイル名を指定して実行」ダイアログを開き、クリップボードにコピーされたPowerShellコマンドを貼り付けるように仕向けられます。これはClickFixと呼ばれる手法です。このコマンドはリモートサーバーから第2段階のダウンローダーを取得し、そこから第3段階のPowerShellスクリプトが配信されます。このスクリプトは、仮想環境での検出を回避しながら、ホスト上でLOSTKEYSを実行します。
再利用されたマルウェアか、それとも早期テストか?
セキュリティ研究者は、オープンソースの調査プラットフォームであるMaltegoのバイナリを模倣した、2023年12月に遡るLOSTKEYSのサンプルを発見しました。これらのサンプルが初期のテストバージョンであったのか、それとも2025年に確認されたマルウェアの展開以前の、無関係な使用であったのかは依然として不明です。
ClickFixの広範な導入と有害な影響
ClickFix手法は、マルウェア拡散の手段として、様々な脅威アクターの間で人気が高まっています。注目すべき例として、以下の2つが挙げられます。
- Lampionバンキング型トロイの木馬:ZIPファイルが添付されたフィッシングメールを介して配信されます。メール内のHTMLファイルは、ClickFixの指示を含む偽のCAPTCHAページに被害者をリダイレクトし、政府、金融、交通機関などのポルトガル語圏のセクターを標的とした多段階感染を引き起こします。
MacReaper:合法的なウェブサイトを悪用した広範なキャンペーン
さらなる調査により、Atomic Stealerキャンペーンは、MacReaperと呼ばれる大規模な水飲み場型攻撃と関連付けられました。約2,800の正規ウェブサイトが侵害され、偽のCAPTCHAプロンプトが表示されました。これらの攻撃では、難読化されたJavaScript、フルスクリーンのiframe、ブロックチェーンベースのインフラストラクチャが利用され、検出を回避し、感染を最大化していました。
