TransferLoader マルウェア

セキュリティ研究者たちは、RomCom RATの背後にいる悪名高いアクターと、TransferLoaderと呼ばれるマルウェアローダーとの関連性を指摘しています。スパイ活動やランサムウェア攻撃で組織を標的としたこのキャンペーンは、高度な手法と重複するインフラストラクチャを浮き彫りにしており、綿密な調査が必要です。

2つの脅威アクタークラスター：TA829とUNK_GreenSec

サイバーセキュリティ研究者は、TransferLoader 関連の活動を 2 つの主要な脅威アクター グループに帰しています。

• TA829 は、RomCom RAT、CIGAR、Nebulous Mantis、Storm-0978、Tropical Scorpius、UAC-0180、UAT-5647、UNC2596、Void Rabisu などの別名でも追跡されています。
• UNK_GreenSec は、同様の戦術で並行して動作するあまり知られていないクラスターです。

TA829は、スパイ活動と金銭目的の攻撃を組み合わせたハイブリッドな活動で特に注目されています。ロシアと連携するこのグループは、これまでにもMozilla FirefoxとMicrosoft Windowsのゼロデイ脆弱性を悪用し、RomCom RATを展開して、世界的に価値の高い組織を標的にしてきました。

TransferLoader：マルウェア攻撃における出現と役割

TransferLoaderは、2025年2月にHellCatランサムウェアのリブランド版であるMorpheusランサムウェアを使ったキャンペーン中に初めて確認されました。このマルウェアは、名前が公表されていない米国の法律事務所を標的に使用されました。RomComとは異なり、TransferLoaderは主にステルス型の配信メカニズムとして機能し、MetasploitやMorpheusなどの悪意のあるペイロードの展開を可能にします。

TransferLoader の使命はシンプルです。検出されずにさらにマルウェアを配布することです。

REMプロキシインフラストラクチャの悪用

TA829とUNK_GreenSecはどちらもREMプロキシサービスに依存しており、これらのサービスは多くの場合、侵害されたMikroTikルーター上にホストされています。これらのプロキシは、悪意のあるトラフィックをルーティングし、その真の送信元を偽装するために使用されます。これらのグループは、このインフラストラクチャを以下の目的で利用しています。

• フリーメールサービス（Gmail、ukr.netなど）経由でフィッシングメールを送信する
• 上流の活動を隠すためにトラフィックを中継する
• 新しく作成されたメールアカウントと侵害されたメールアカウントの両方を使用してキャンペーンを開始する

研究者は、フィッシングの配布に ximajazehox333@gmail.com や hannahsilva1978@ukr.net などの送信者アドレスを大量に生成する電子メール作成ツールが使用されていると疑っています。

フィッシングの仕組みとペイロードの配信

両グループから送信されるフィッシングメールには、メール本文またはPDF添付ファイルに埋め込まれたリンクが含まれていることがよくあります。これらのリンクをクリックした被害者は、Rebrandlyを介して一連のリダイレクトに誘導され、最終的には偽装されたGoogleドライブまたはMicrosoft OneDriveのページへと誘導されます。これらのリダイレクトには、以下の機能が含まれています。

• サンドボックス環境をバイパスする
• 関心のないシステムを除外する
• 脅威グループに応じて異なる最終ペイロードを配信する

異なる攻撃経路:

• UNK_GreenSecはこのルートを使用してTransferLoaderを展開します
• TA829はターゲットをSlipScreenマルウェアにリダイレクトします

共有ツールとインフラストラクチャ

両方のアクターのグループは、重複するツールセットとインフラストラクチャの選択を示しています。

• SSHトンネルを確立するためのPuTTYのPLINKユーティリティの使用
• IPFS（InterPlanetary File System）サービス上で悪意のあるユーティリティをホスティングする
• トラフィックフィルタリングのための動的なPHPベースのリダイレクトエンドポイントを活用する

これらの共通の方法は、効果的な戦術の調整または相互採用の可能性を示唆しています。

ソーシャルエンジニアリングのテーマと配信戦術

TransferLoader を悪用するキャンペーンは、多くの場合、求人情報メールを装い、PDF 形式の履歴書へのリンクを装って被害者を誘い込みます。しかし実際には、このリンクをクリックすると、IPFS ウェブ共有上にホストされている TransferLoader がダウンロードされます。

TransferLoader操作の主な技術的ハイライト

検出を回避 - リダイレクト、フィルタリング、分散ホスティングを使用して従来の防御を回避します。

ペイロード配信 - ランサムウェアやリモート アクセス ツールなどのより危険なマルウェアのローダーとして機能します。

差別化された技術 - 独自のリダイレクト構造 (JavaScript から PHP エンドポイント) を採用して、動的なコンテンツ配信をサポートします。

結論: TransferLoaderの脅威を理解する

TransferLoaderは、ステルス性に優れ、強力な攻撃を可能にするローダーとして、重大な脅威となります。UNK_GreenSecとTA829の両組織がTransferLoaderを使用していることは、サイバー犯罪グループが検出を回避し、目的を達成するために、革新を続け、ツールを共有し、分散型インフラストラクチャを悪用していることを如実に示しています。

TransferLoader の脅威の指標には次のものがあります:

• REMプロキシサービスの使用
• 求人応募書類や履歴書を参照するメールの誘導
• Rebrandlyリンクを含むリダイレクトチェーン
• IPFSベースのプラットフォームでホストされるペイロード

組織は警戒を怠らず、強力な電子メールおよび Web フィルタリングを実装し、これらの戦術に関連する異常なネットワーク動作を継続的に監視する必要があります。