Last Updated on 2025-06-10 09:24 by admin
Kasperskyが2025年6月9日に発表した報告書によると、「Librarian Ghouls」(別名「Rare Werewolf」「Rezet」)と呼ばれるAPTグループが2025年5月まで継続してロシアとCIS諸国の組織に対する攻撃を実行している。
このグループは2024年を通じて活動を続け、12月に一時的な活動減少の後、新たな攻撃の波を開始した。攻撃手法はパスワード保護されたRARアーカイブ内のSCRファイルを含む標的型フィッシングメールを使用し、Smart Install Makerで作成された自己展開型インストーラーを展開する。
攻撃者は4t Tray Minimizer、AnyDesk、Defender Control、Mipko Personal Monitor、WebBrowserPassView、ngrok、NirCmd、Blatなどの正規ソフトウェアを悪用し、XMRig暗号通貨マイナーを配置する。
C&Cサーバーは「downdown[.]ru」と「dragonfires[.]ru」(IPアドレス185.125.51.5)を使用している。被害者は数百人のロシアユーザーで、主に産業企業と工学系学校が標的となり、ベラルーシとカザフスタンのユーザーも影響を受けた。調査時点で100以上の悪意のあるファイルがこのキャンペーンに関連している。
From: 
Sleep with one eye open: how Librarian Ghouls steal data by night
【編集部解説】
今回のLibrarian Ghouls事案は、2024年から2025年にかけてロシア語圏で活発化している一連のAPT攻撃の典型例として注目されます。Dark Readingの報告でも確認されているように、この攻撃グループの手法には従来のAPT攻撃とは異なる特徴的な側面があります。
最も重要な点は、攻撃者が独自のマルウェアを開発せず、AnyDesk、Mipko Personal Monitor、ngrokといった既存の正規ソフトウェアを巧妙に悪用していることです。この「Living off the Land」手法は、Kaspersky ICS CERTの2025年産業脅威予測でも重要なトレンドとして言及されており、検知回避の新たな標準となりつつあります。
特に注目すべきは、攻撃者が被害者のコンピューターを毎日午前5時に自動シャットダウンするスケジュールタスクを設定している点です。これは従来の痕跡隠滅手法を超えた、ユーザーの生活パターンを考慮した巧妙な戦術といえるでしょう。
Stamus Networksの脅威検知レポートによると、Librarian GhoulsはRAR形式の悪意のあるアーカイブを使用し、オフィス文書を模倣したSCRファイルを配布しています。これは従来のフィッシング攻撃よりも高度な社会工学的手法を示しています。
この攻撃で使用されているXMRig暗号通貨マイナーの展開は、金銭的利益とスパイ活動の両方を狙った「ハイブリッド型攻撃」の典型例です。Kaspersky ICS CERTの産業組織攻撃レポートでも、このような複合的な攻撃手法の増加が指摘されています。
ロシア語圏を標的とした攻撃の背景には、Crypt GhoulsやAwaken Likho(Core Werewolf)など、同地域で活動する他のAPTグループとの関連性も示唆されています。これらのグループは類似のツールセットと戦術を共有しており、組織化されたサイバー犯罪エコシステムの存在を物語っています。
技術的な観点から見ると、PowerShellスクリプトとバッチファイルを多用した攻撃手法は、従来のシグネチャベースの検知を困難にしています。しかし、正規ツールの異常な使用パターンを監視することで、早期発見の可能性は十分にあります。
長期的な影響として、このような攻撃手法の普及により、企業は行動分析に基づく検知システムへの移行を迫られることになるでしょう。また、正規ソフトウェアのセキュリティ管理についても、新たなガバナンス体制の構築が急務となっています。
【用語解説】
APT(Advanced Persistent Threat)
高度で持続的な脅威を指すサイバー攻撃の手法。特定の組織や国家を長期間にわたって標的とし、機密情報の窃取や破壊活動を行う。
C&C(Command and Control)サーバー
攻撃者がマルウェアに感染したコンピューターを遠隔操作するための指令制御サーバー。感染端末との通信拠点として機能する。
XMRig
Monero(モネロ)暗号通貨のマイニングソフトウェア。正規用途で使用されるが、マルウェアとして悪用され、被害者のコンピューターリソースを無断で使用される場合がある。
Living off the Land
攻撃者が独自のマルウェアを使用せず、標的システムに既存の正規ツールやソフトウェアを悪用して攻撃を実行する手法。
SCRファイル
Windows スクリーンセーバーファイルの拡張子。実行可能ファイルとして動作するため、マルウェア配布に悪用されることがある。
Blat
Windows用のコマンドライン電子メール送信ツール。攻撃者がデータ流出に悪用することがある。
SFX(Self-Extracting)アーカイブ
自己展開型圧縮ファイル。実行すると自動的に内容を展開する機能を持ち、マルウェア配布に頻繁に使用される。
【参考リンク】
AnyDesk公式サイト(外部)
ドイツ発のリモートデスクトップソフトウェア。高速で軽量なリモートアクセスを提供し、ビジネス用途やサポート業務で広く利用されている。
4t Tray Minimizer公式サイト(外部)
アプリケーションをシステムトレイに最小化するウィンドウ管理ツール。デスクトップとタスクバーのスペースを節約する機能を提供する。
ngrok公式サイト(外部)ローカル環境で動作するWebアプリケーションを外部からアクセス可能にするトンネリングサービス。開発者がテスト環境を簡単に共有できる。
Kaspersky公式サイト(外部)
ロシア発のサイバーセキュリティ企業。ウイルス対策ソフトウェアや脅威インテリジェンスサービスを提供し、世界的なセキュリティベンダーとして知られる。
MeshCentral公式サイト(外部)
オープンソースのリモート管理プラットフォーム。企業や個人がデバイスを遠隔管理するために使用される正規ツール。
【参考動画】
【参考記事】
‘Librarian Ghouls’ Cyberattackers Strike at Night – Dark Reading(外部)
Dark ReadingによるLibrarian Ghouls攻撃の分析記事。Mipko Personal MonitorなどのDLPシステムの悪用や、夜間攻撃の特徴について詳述している。
Threat Detection Update 17-September-2024 – Stamus Networks(外部)
Stamus NetworksによるLibrarian Ghoulsの脅威検知アップデート。RAR形式アーカイブとSCRファイルを使用した攻撃手法の技術的詳細を提供している。
APT and financial attacks on industrial organizations in Q4 2024 – Kaspersky ICS CERT(外部)
2024年第4四半期における産業組織に対するAPT攻撃の分析レポート。Crypt GhoulsやAwaken Likhoなど、ロシア語圏で活動する関連APTグループの動向を詳細に分析している。
Threat predictions for industrial enterprises 2025 – Kaspersky ICS CERT(外部)
Kaspersky ICS CERTによる2025年産業企業向け脅威予測レポート。Living off the Land手法の普及など、今後のサイバー脅威トレンドを予測している。
【編集部後記】
今回のLibrarian Ghouls事案は、AnyDeskやngrokといった日常的に使用される正規ツールが攻撃に悪用される現実を浮き彫りにしています。皆さんの組織では、これらのリモートアクセスツールやシステム管理ソフトに対してどのような監視体制を敷いているでしょうか。
また、毎日午前5時の自動シャットダウンのような巧妙な痕跡隠滅手法に対して、どのような検知メカニズムが有効だと思われますか。この記事をきっかけに、身近なデジタル環境のセキュリティについて改めて議論してみませんか。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
