ヌードルフィールマルウェアキャンペーン
Noodlophileマルウェアを操るサイバー犯罪者は、米国、ヨーロッパ、バルト諸国、そしてアジア太平洋地域の組織を標的とした継続的な攻撃キャンペーンを展開しています。彼らは、スピアフィッシング戦術と進化する配信メカニズムを組み合わせることで、ますます巧妙化する強力な情報窃取ツールを展開することを目指しています。
目次
ひねりを効かせたスピアフィッシング
1年以上前から活動しているこの攻撃キャンペーンは、著作権侵害通知を装ったスピアフィッシングメールへと移行しています。これらのメールは一般的なものではなく、攻撃者はFacebookページIDや企業の所有権情報などの偵察データを用いてメールをカスタマイズし、信憑性を高めています。
2025年5月に発覚したNoodlophileキャンペーンの初期段階では、Facebookなどのソーシャルメディアチャネルを通じて宣伝された偽のAIツールが利用されていました。現在、著作権関連のルアー(おとり)への転換は、その進化における新たな章を示しています。注目すべきは、同様の戦略が以前にも見られたことがあることです。2024年11月には、大規模なフィッシングキャンペーンで、虚偽の著作権侵害の申し立てを利用してRhadamanthys Stealerを拡散しました。
攻撃チェーンの解剖
現在の活動は、Gmailを発信元とするフィッシングメールから始まります。このメールは、著作権侵害の疑いを回避しつつ、緊急性を煽ることを目的としています。メール内にはDropboxへのリンクが含まれており、ZIPファイルまたはMSIファイルが添付されています。このインストーラーが実行されると、正規のHaihaisoft PDF Readerバイナリを介して悪意のあるDLLファイルがサイドロードされます。Noodlophile Stealerが実行される前に、バッチスクリプトがWindowsレジストリエントリを変更することで永続性を確保します。
特に巧妙な回避手法の一つとして、Telegramグループの説明文が挙げられます。これは「デッドドロップリゾルバ」として機能し、被害者をpaste.rsでホストされている実際のペイロードサーバーへと誘導します。この手法は、動的なペイロード配信を可能にしながら、検出と削除の取り組みを複雑化させます。
進化する回避戦術
certutil.exe のような Base64 エンコードされたアーカイブや LOLBin を活用した以前のキャンペーンを基に、現在のバージョンでは次の機能が追加されています。
- テレグラムベースのコマンドアンドコントロールチャネル
- ディスクベースの検出を回避するためのメモリ内実行技術
これらの革新は、より洗練された回避メカニズムへの着実な傾向を示しており、従来の防御の有効性は低下しています。
ヌードルフィールの能力
Noodlophileは単なる情報窃取ツールではなく、幅広い機密データを盗み出すために設計された、継続的に進化するツールキットです。最新の分析では、以下の機能があることが示されています。
- ブラウザデータとシステム情報を抽出します。
- 特に Facebook から、企業関連のソーシャル メディアの詳細情報を収集します。
進行中のコード分析により、開発者が機能拡張に取り組んでいることが明らかになりました。計画されている機能には、スクリーンショットのキャプチャ、キーロギング、ファイルの流出、プロセス監視、ネットワーク偵察、ファイルの暗号化、詳細なブラウザ履歴の抽出などが含まれます。
拡大する企業リスク
このキャンペーンがブラウザとソーシャルメディアのデータに重点を置いていることは、オンラインプレゼンスの高い企業を標的とする意図的な戦略を示唆しています。現在開発中の新機能により、Noodlophileはスパイ活動、認証情報の窃取、そして将来的にはランサムウェアのような機能も備え、より多用途で危険な脅威へと進化する可能性があります。
