レアなウェアウルフAPTがロシアに暗号資産マイニングとデータ窃盗攻撃を仕掛ける

2025-06-10 12:07:47

ホームニュース* レアウルフと呼ばれる高度なサイバーグループがロシアおよび独立国家共同体(CIS)で攻撃を実施し、主に産業および教育部門を標的にしています。

攻撃者は、カスタムメイドのマルウェアの代わりに、正当なサードパーティツールやPowerShellスクリプトを使用するため、検出が難しくなります。
フィッシングメールは、パスワードで保護されたアーカイブに隠されたマルウェアを配信し、暗号通貨マイニングソフトウェアを展開してユーザーデータを盗みます。 *ベラルーシとカザフスタンの人々を含む数百人のロシアのユーザーが影響を受けました。攻撃者は、資格情報を盗み、リモートアクセスを可能にすることに焦点を当てていました。
別のグループ、DarkGaboonは、2023年からロシアの組織を狙った経済的動機による攻撃でLockBit 3.0ランサムウェアを使用しています。 Rare Werewolfとして知られるサイバーグループは、ロシアや他のCIS諸国を標的とした一連のサイバー攻撃に関連しています。攻撃者は、フィッシングメールを使用して悪意のあるファイルを配信し、リモートアクセスの取得、資格情報の盗用、XMRigと呼ばれる暗号通貨マイニングソフトウェアのインストールを目的としていました。これらの攻撃は、ロシア、ベラルーシ、カザフスタンの工業企業や専門学校のユーザーを含む数百人のユーザーに影響を与えています。

広告 - Kasperskyの研究者によると、このグループは従来のマルウェアを避け、代わりにコマンドファイルとPowerShellスクリプトを正規のソフトウェアと組み合わせて使用して攻撃を実行しています。*「この脅威の特徴は、攻撃者が独自の悪意のあるバイナリを開発するよりも、正当なサードパーティソフトウェアを使用することを好むことです」*Kasperskyは述べています。攻撃者は、実行可能ファイルを含むパスワードで保護されたアーカイブを含むフィッシングメールを送信し、多くの場合、支払い注文などのドキュメントを装いました。

被害者のシステムに侵入すると、攻撃者は実行中のアプリをシステムトレイに隠す4t Tray Minimizerなどのソフトウェアをインストールしました。また、ウイルス対策ソフトウェアを無効にし、正規のプログラムであるBlatを使用して、盗んだデータを攻撃者が制御する電子メールアカウントに送信するツールも展開しました。チームは、AnyDeskリモートデスクトップソフトウェアとスケジュールされたスクリプトを使用して、特定の時間帯にアクセスを維持しました。「悪意のある機能はすべて、依然としてインストーラー、コマンド、およびPowerShellスクリプトに依存しています」とKasperskyは述べています。

「レア・ウェアウルフ」は、「ライブラリアン・グール」や「レゼット」とも呼ばれ、以前からロシアやウクライナの組織を標的にしており、2019年以降、顕著な活動が行われています。彼らの戦略には、有名なユーティリティを活用して、検出とアトリビューションをより困難にすることが含まれます。

また、Positive Technologiesは、2023年半ばから、金銭的な動機を持つグループDarkGaboonがロシアの組織を標的にしていると報じています。このグループは、アーカイブファイルまたはWindowsスクリーンセーバーファイルを添付したフィッシングメールを使用して、LockBit 3.0ランサムウェアやXWormやRevengeRATなどの他のリモートアクセストロイの木馬をアクティブにします。「Positive Technologies」の研究者であるビクター・カザコフが指摘しているように、「DarkGaboonはLockBit RaaSサービスのクライアントではなく、独立して行動しています...」*このグループはLockBitの公開バージョンを使用しており、盗んだデータをオンラインで漏洩すると脅迫しています。

これらの活動は、ロシアおよび周辺地域の組織に対する継続的な脅威を浮き彫りにしており、攻撃者は一般的かつ合法的なソフトウェアツールを利用して検出を回避し、帰属の複雑化を図っています。

####前の記事: