Last Updated on 2025-05-07 00:09 by admin
Arctic Wolf Labsは2025年5月2日、金銭目的の脅威アクターグループ「Venom Spider」(別名TA4557)が、企業の人事部門や採用担当者を標的とした新たなスピアフィッシングキャンペーンを展開していると報告した。
このキャンペーンでは、Venom Spiderが求職者を装い、履歴書を装った悪意あるファイルを送りつけることで、「More_eggs」と呼ばれる多目的バックドアをインストールしようとしている。このマルウェアは2023年10月から使用されており、被害者のシステム情報を収集し、追加のマルウェアをダウンロードしたり、機密データを窃取したりする能力を持つ。
攻撃の流れは以下の通りである。まず採用担当者にスピアフィッシングメールを送信し、外部サイトへのリンクをクリックさせる。サイトには自動スキャナーを回避するためのCAPTCHAが設置されており、これを通過するとZIPファイルがダウンロードされる。このZIPファイルには画像ファイルと悪意のあるWindowsショートカット(.lnk)ファイルが含まれている。
特筆すべき点として、攻撃者のインフラはサーバー側ポリモーフィズムを採用しており、ダウンロードごとに異なる難読化とファイルサイズの新しい悪意あるファイルが生成される。また、マルウェアはコンピューター名とプロセッサ識別子を組み合わせたデバイス固有の暗号化キーを使用するため、サンドボックス環境での分析を困難にしている。
Arctic Wolfの上級脅威インテリジェンス研究者Stefan Hostetler氏によると、このキャンペーンは成功しており、継続的に進化しているという。Venom Spiderは従来、オンライン決済ポータルやEコマースサイトを使用する小売業、エンターテイメント業、薬局業界を標的としていたが、今回の戦術変更により、新規採用を行うあらゆる業界や組織が標的となる可能性がある。
Arctic Wolfは対策として、従業員へのフィッシング対策トレーニング、特にHR部門への追加トレーニング、ファイルのプロパティ確認の習慣化、既知のC2ドメインのブロックなどを推奨している。
from:‘Venom Spider’ Targets Hiring Managers in Phishing Scheme
【編集部解説】
この攻撃が特に注目すべき点は、人事部門という「企業の必然的な弱点」を狙っていることです。採用担当者は業務上、未知の送信元からの添付ファイルを開く必要があり、この習慣を悪用しています。
Arctic Wolf Labsの最新の調査によれば、Venom Spiderは2023年10月から攻撃を行っていますが、実はこのグループの活動歴は2010年代後半にまで遡ります。ProofPointの2019年の報告では、More_eggsバックドアが2018年半ばから使用されていたことが確認されています。
技術的に興味深いのは、攻撃インフラがサーバー側ポリモーフィズムを採用している点です。これにより、ダウンロードごとに異なる難読化とファイルサイズの新しい悪意あるファイルが生成されるため、セキュリティ対策をすり抜けやすくなっています。
また、2024年12月の報告によれば、Venom Spiderは「RevC2」と「Venom Loader」という2つの新しいマルウェアファミリーを開発し、その活動範囲を拡大しています。これはマルウェア・アズ・ア・サービス(MaaS)ビジネスモデルの進化を示しています。
従来、Venom Spiderはオンライン決済ポータルやEコマースサイトを使用する業界を標的としていましたが、今回の戦術変更により、新規採用を行うあらゆる組織が標的となる可能性があります。これは攻撃対象の大幅な拡大を意味します。
特に日本企業にとって重要なのは、採用活動のデジタル化が進む中で、このような脅威に対する認識を高めることです。リモートワークの普及により、オンラインでの採用プロセスが一般化し、攻撃の機会が増えています。
対策としては、Arctic Wolfが推奨するように、特にHR部門への追加セキュリティトレーニングが効果的でしょう。また、添付ファイルを開く前にプロパティを確認する習慣や、不審なリンクをクリックしない意識づけも重要です。
このような攻撃は、単にデータ窃取だけでなく、企業の知的財産や取引先情報の漏洩、さらには金銭的被害にもつながる可能性があります。特に日本企業は取引先との信頼関係を重視する文化があるため、セキュリティインシデントによる信頼喪失のリスクは看過できません。
今後も採用プロセスを狙った攻撃は増加すると予想されます。セキュリティ対策は技術的な側面だけでなく、人的要素も含めた総合的なアプローチが必要です。読者の皆さんも、自社の採用プロセスのセキュリティを今一度見直してみてはいかがでしょうか。
【用語解説】
スピアフィッシング:
通常のフィッシング詐欺と異なり、特定の個人や組織を狙って行われる標的型の攻撃である。一般的なフィッシングが「網を広く投げる」のに対し、スピアフィッシングは「銛(もり)で特定の魚を狙う」ような攻撃だ。
More_eggs:
Venom Spiderが開発した多目的バックドアマルウェア。被害者のシステム情報を収集し、追加のマルウェアをダウンロードしたり、機密データを窃取したりする能力を持つ。卵(eggs)が孵化して別の脅威を生み出すことから命名されたと考えられる。
サーバー側ポリモーフィズム:
攻撃者のサーバーが、ダウンロードごとに異なる難読化とファイルサイズの新しい悪意あるファイルを生成する技術。「変形する能力」を意味し、同じマルウェアでも形を変えることでセキュリティ対策を回避する。
マルウェア・アズ・ア・サービス(MaaS):
サイバー犯罪者がマルウェアをサービスとして他の犯罪者に提供するビジネスモデル。
【参考リンク】
Arctic Wolf Labs(外部)
Arctic Wolfのセキュリティ研究部門。脅威インテリジェンスや最新のセキュリティ研究を提供している。
Venom Spider(Malpedia)(外部)
Venom Spiderに関する詳細情報を提供するMalpediaのページ。
【参考動画】
【編集部後記】
皆さんの組織では、採用プロセスのセキュリティ対策はどのように行われていますか?今回のVenom Spiderの事例は、日常業務の中に潜むセキュリティリスクを再認識させてくれます。特に人事担当者の方は、「履歴書」という名の添付ファイルに警戒感を持ちづらいかもしれません。チーム内でこの記事を共有し、「怪しいと思ったらプロパティを確認する」といった簡単な習慣から始めてみてはいかがでしょうか。皆さんのセキュリティ対策について、ぜひSNSでシェアしていただければ幸いです。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
