複数ライセンス割引見積
脅威データベース バックドア ミスティック・バックドア

ミスティック・バックドア

バックドアMezoまで
翻訳内容:

Mistic(MLTBackdoorとも呼ばれる)と呼ばれる高度なバックドアが、2026年4月以降に活発化している、金銭目的と疑われるサイバー攻撃の波の中で出現した。このマルウェアは、保険、教育、情報技術、専門サービスといった分野の組織に対する攻撃で検出されている。

セキュリティ研究者らは、この攻撃を初期アクセスブローカー(IAB)であるKongTuke(404 TDS、Chaya_002、LandUpdate808、TAG-124、Woodgnatなど複数の別名でも知られる)と関連付けている。これらの侵入の際、Misticは、以前に同じ攻撃者によるものとされていたPythonベースのリモートアクセス型トロイの木馬であるModeloRATと共に展開された。

ステルス性と長期アクセスを想定して設計されています

Misticの特徴は、ディスクにファイルを書き込むことなく完全にメモリ上で動作するため、検出される可能性が大幅に低い点です。また、このマルウェアには、必要に応じて自身を消去できるキルスイッチが内蔵されています。これらの特徴から、攻撃者は侵害した環境への永続的かつ秘密裏なアクセスを維持することに重点を置いていることがうかがえます。

注目を集めないようにするため、このマルウェアはDLLサイドローディング技術を利用し、Microsoftの正規のエンドポイントセキュリティユーティリティであるMpExtMs.exeを悪用して、通常のシステムアクティビティに紛れ込む。

ClickFix配信キャンペーンの進化

ModeloRATは、2026年1月にClickFixキャンペーンの亜種であるCrashFixの調査中に初めて注目を集めました。この作戦では、KongTukeの攻撃者が広告ブロッカーを装った悪意のあるGoogle Chrome拡張機能を配布しました。この拡張機能は、意図的に被害者のブラウザをクラッシュさせ、セキュリティスキャンを実行するように見せかけて悪意のあるコマンドを実行させました。

別のClickFixキャンペーンでは、被害者にドメインネームシステム(DNS)ルックアップを実行するコマンドを実行させるという、異なる手法が用いられた。DNSリクエストは、次の段階のペイロードを取得するために使用され、DNSは攻撃者にとって軽量なステージングおよびシグナリングメカニズムとして効果的に機能した。

2026年6月、研究者らはClickFixがMisticの配信メカニズムとして使用されていることを指摘し、この活動はランサムウェア関連の脅威アクターが最初の足がかりを得て、ネットワーク間での横方向の移動を容易にしようとしているためだと結論付けた。

ミスティックを非常に危険な存在にする能力

このバックドアは、高度なリモートアクセスマルウェアによく見られる幅広い機能を提供します。具体的には以下のとおりです。

ファイルのアップロードとダウンロード、フォルダの作成、ファイルの移動、名前変更、削除。
メモリ内で悪意のあるコードを直接実行し、ビーコンオブジェクトファイルをロードして機能を拡張し、コマンドのポーリング間隔を変更し、証拠を消去するために自身を終了および削除する。

機会主義的標的攻撃とランサムウェアの関連性

この攻撃は、特定の業界に絞るのではなく、機会主義的な手法を用いているようだ。攻撃者は幅広い組織に侵入し、どの組織から得た情報を他のサイバー犯罪者に販売することで利益を得られるかを評価していると報じられている。

研究者らは、最終的にQilinランサムウェアの展開につながった攻撃においてModeloRATが使用されていることを確認しており、初期アクセス仲介者とランサムウェア攻撃者との関連性を裏付けている。

KongTukeの拡大し続けるソーシャルエンジニアリング技術

KongTukeは、侵害されたWordPressウェブサイト上に構築された高度なトラフィック配信システム(TDS)を運用しています。このインフラストラクチャは、無防備な訪問者をマルウェア配信チェーンへと誘導する、絶えず変化する誘惑を表示するために使用されます。

最近、セキュリティ企業のRapid7とReliaQuestは、攻撃者が不正な「ITサポート」アカウントからMicrosoft Teamsメッセージを送信することで戦術を変更したと報告した。これらのメッセージは、ModeloRATの展開につながる攻撃チェーンを開始する。

カスタムマルウェア開発のトレンド拡大

Misticの高度な技術と、ModeloRATの開発におけるWoodgnatの関与の疑いは、ステルス性の高いリモートアクセスツールを専門とする高度なスキルを持つグループの存在を示唆している。Backdoor.Misticの出現は、ランサムウェア攻撃がカスタムメイドのマルウェア、データ漏洩ツール、および特殊なアクセスツールにますます依存するようになるという、より広範な業界トレンドも反映している。

現在の証拠から判断すると、Misticはランサムウェアグループ自身が直接開発したツールというよりは、アクセスブローカーがランサムウェア関連組織と協力して生み出した可能性が高い。

関連記事

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
24,122
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
21,791
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...