マルウェア概説:4つのマルウェアが連携して活動
2025年7月21日、Tony Burgess
本日のマルウェア概説では、ほぼ同じ時期に現れた4つの異なるマルウェアの例を簡単に紹介します。これらのマルウェアは、それぞれのグループによって異なる目的で利用される複雑な脅威の連鎖を実証しています。
このケースでは、RomCom RAT、TransferLoader、MeltingClaw、DustyHammockの4つが、2020年代初頭にロシアのウクライナ侵攻後に特定されました。これらのマルウェアは、ロシア語を話すグループによってウクライナ、ポーランド、および一部のロシアの標的に対して広く使用されています。
RomCom RAT
タイプ: リモートアクセストロイの木馬(RAT)
配布方法: フィッシングキャンペーン、改ざんされたURL、偽のソフトウェアダウンロード
変種: SingleCamper
最初の特定: 2022年
主な標的: 主にウクライナの標的に対して展開されています
既知のオペレーター: TA829、UAT-5647
RomCom RATは、脅威アクターがエンドポイントコンピュータを遠隔操作するためのバックドアを作成するために使用されます。ロシア関連グループTA829は、このツールを含む他のツールを情報収集や金融詐欺に利用しています。このグループは通常、Mozilla FirefoxとMicrosoft Windowsの脆弱性を悪用してRomCom RATを拡散します。
RomCom RATでシステムが侵害されると、脅威アクターは通常、TransferLoaderやSlipScreenのようなステルスローダーをシステムに挿入します。これらのローダーは、ターゲットシステムにランサムウェアをロードするために使用されます。
当初はロシア語を話すグループによってウクライナとポーランドの標的に対して主に使用され、その後金融犯罪に適応されました。
TransferLoader
タイプ: マルウェアローダー
配布方法: 就職応募をテーマにしたフィッシングキャンペーン、RAT感染
最初の発見: 2025年2月
既知のオペレーター: UNK_GreenSec、RomCom
TransferLoaderは、ダウンロードツール、バックドア、バックドアローダーを組み合わせ、脅威アクターが侵害されたシステムに変更を加え、ランサムウェアや他のマルウェアを挿入する機能を可能にします。
初めて発見されたのは、アメリカのある法律事務所のシステムにMorpheusランサムウェアをロードするために使用された際です。その後、MeltingClawやDustyHammerなどのマルウェアをドロップするために使用されています。
TransferLoaderはステルス性を重視して設計されており、検出を回避するための多様な技術を採用しています。ダウンロードされた悪意のあるコードを実行する際、偽のPDFファイルを開くことで活動を隠蔽します。
MeltingClaw
タイプ: ダウンロードツール
バリエーション: RustyClaw
最初の発見: 2024
既知のオペレーター/作成者: RomCom — 別名 Storm-0978、UAC-0180、Void Rabisu、UNC2596、および Tropical Scorpius
高度な スピアフィッシングキャンペーンが、ダウンロードツール MeltingClaw とその派生版 RustyClaw の配信に利用されました。これらのツールは、バックドア DustyHammock または ShadyHammock をダウンロードしてインストールします。
これらのステルス性の高いバックドアは、ターゲットシステムへの長期アクセスを可能にし、データの発見・窃取やその他の悪意のあるタスクを実行できます。ロシアのウクライナ侵攻中に、ウクライナのシステムに対する諜報活動と破壊活動に利用されました。
DustyHammock
タイプ: バックドア
バリエーション: ShadyHammock
初確認: 2024
DustyHammockは、コマンドアンドコントロールサーバーとの通信、標的システムでの初期偵察、脅威アクターが任意のコマンドを実行したり、悪意のあるファイルをダウンロードして配置したりする機能を実行するように設計されています。
検出を回避しながら長期的なアクセスを可能にするため、DustyHammockはデータ漏洩とスパイ活動、および破壊活動に利用されています。
Barracudaソリューションをご確認ください
これらのマルウェアをはじめ、最新のマルウェアなどの脅威に対抗するため、Barracuda の製品、ソリューションに関する情報を製品ページからご確認ください。よろしくお願いいたします。
