Venom Spider|新型マルウェアが個人識別情報を狙う – MaaS攻撃プラットフォームの進化が示す新たな脅威

Venom Spider|新型マルウェアが個人識別情報を狙う - MaaS攻撃プラットフォームの進化が示す新たな脅威 - innovaTopia - (イノベトピア)

サイバーセキュリティ企業Zscaler ThreatLabzは2024年12月2日、サイバー犯罪グループ「Venom Spider(別名:Golden Chickens)」による新たなマルウェア攻撃を報告した。

【発見された新型マルウェア】

  1. RevC2(バックドア型)
  2. Venom Loader(ローダー型)

【攻撃の時期】

  • 第1波:2024年8月〜9月(RevC2を使用)
  • 第2波:2024年9月〜10月(Venom Loaderを使用)

【マルウェアの主な機能】
RevC2の機能:

  • WebSocketsを利用したC2サーバー通信
  • Chromiumブラウザからのパスワード・クッキー窃取
  • スクリーンショット撮影
  • SOCK5プロトコルによるネットワークデータのプロキシ化
  • 盗取した認証情報を使用した権限昇格

Venom Loaderの特徴:

  • 被害者のコンピューター名を利用したペイロードのカスタマイズ
  • JavaScriptバックドア「More_eggs lite」の配信

【攻撃手法】

  • APIドキュメントを装った偽装PNG画像
  • 暗号通貨関連の誘い文句を使用したフィッシング

【被害組織】
FIN6やCobaltなどのサイバー犯罪グループが、このMaaSプラットフォームを利用して攻撃を実行している。

【対策】
Zscalerは以下の検知名でマルウェアを特定:

Win32.Downloader.VenomLoader

LNK.Downloader.VenomLNK

Win32.Backdoor.RevC2

from:Venom Spider Spins Web of New Malware for MaaS Platform

【編集部解説】

マルウェア・アス・ア・サービス(MaaS)の進化は、サイバーセキュリティ業界に大きな影響を与えています。Venom Spiderは2012年からロシアの地下フォーラムで活動を続けており、その高度な技術力で知られています。

今回の新型マルウェアの特徴は、個々の被害者に合わせたカスタマイズ機能です。これは従来型の大量配布型マルウェアとは一線を画す、より巧妙な手法といえます。

攻撃手法の進化

特に注目すべきは、人事担当者を標的としたスピアフィッシング攻撃です。2024年10月には履歴書を装ったMore_eggsマルウェアの配布が確認されており、人材採用プロセスを悪用する手口が増加傾向にあります。

LinkedInなどのビジネスSNSを活用した攻撃も確認されており、正規のビジネスプロセスを模倣することで、セキュリティ意識の高い企業でも被害が発生する可能性があります。

企業への影響

特に注意が必要なのは、RevC2による認証情報の窃取機能です。Chromiumベースのブラウザからパスワードやクッキーを窃取できる機能は、企業の重要な情報資産を危険にさらす可能性があります。

また、Venom SpiderのMaaSプラットフォームは、FIN6やCobaltといった高度な攻撃グループにも利用されています。これは、サイバー攻撃の「産業化」が進んでいることを示しています。

今後の展望と対策

MaaSの市場は今後も拡大が予想されます。特に気になるのは、攻撃ツールのモジュール化と販売の制限です。Venom Spiderは信頼できる提携先にのみツールを販売する方針を取っており、これにより攻撃の追跡や対策が困難になる可能性があります。

企業としては、特に採用プロセスにおけるセキュリティ対策の見直しが急務です。また、WebSocketsを使用した通信の監視や、システム権限の適切な管理も重要になってきます。

技術的な示唆

今回のケースは、サイバーセキュリティにおける「防御」の考え方を変える必要性を示唆しています。従来の境界防御だけでなく、正規の業務プロセスを悪用した攻撃への対応が求められています。

また、マルウェアの個別カスタマイズ化は、AIや機械学習を活用した新しい検知手法の必要性を示唆しています。

【用語解説】

  • MaaS (Malware-as-a-Service)
    サイバー犯罪者向けのサブスクリプションサービスのような形態で、マルウェアや攻撃ツールを提供するビジネスモデル。
  • WebSocket
    サーバーとクライアント間で双方向の通信を維持できる技術。チャットアプリのようなリアルタイム通信に使用。
  • C2 (Command & Control)
    攻撃者がマルウェアに指示を出すための制御サーバーです。

【参考リンク】

  1. Zscaler ThreatLabz Blog(外部)
    セキュリティ研究チームによる最新の脅威分析と対策情報を提供するブログ
  2. MITRE ATT&CK(外部)
    サイバー攻撃手法の包括的なデータベース

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » Venom Spider|新型マルウェアが個人識別情報を狙う – MaaS攻撃プラットフォームの進化が示す新たな脅威