-
レア・ウルフ(Rare Werewolf)というサイバー犯罪グループが、ロシアおよびCIS諸国の企業をターゲットにした高度なフィッシングキャンペーンを実施しており、暗号通貨をマイニングし、機密データを盗んでいます。
-
このグループは、悪意のある添付ファイルを含むフィッシングメールを利用し、主に工業企業や工学学校にリモートアクセスを獲得することを狙っています。
-
Kasperskyによると、攻撃者は、検出を避けるために、オフピーク時間に予定されたマイニング操作のような隠密戦術を使用しています。
レア・ウルフによるロシア企業へのターゲットを絞ったフィッシング攻撃は、モネロ(Monero)マイナーを展開し、認証情報を盗むことで、CIS地域におけるサイバー脅威の高まりを強調しています。
レア・ウルフのターゲットを絞ったフィッシングキャンペーン、ロシアおよびCIS組織を狙う
Kasperskyのサイバーセキュリティ研究者は、レア・ウルフと呼ばれるグループがリードする進行中の高度な持続的脅威(APT)キャンペーンを特定しました。このキャンペーンは、ロシアおよび独立国家共同体(CIS)内の企業を特に狙っており、正当な通信に偽装したフィッシングメールを利用して、企業ネットワークに侵入します。攻撃者は、ロシア語のファイル名とおとり文書を含む悪意のある添付ファイルを持つメールを送信し、被害者の関与を高めています。これらの添付ファイルが実行されると、グループは侵害されたデバイスをリモートで制御し、ログイン認証情報や暗号通貨ウォレットデータなどの機密情報を抽出し、システムリソースを悪用するためにモネロ(XMR)マイニングソフトウェアを展開します。
隠密戦術とターゲット産業の有名さが洗練度を明示
レア・ウルフグループは、持続性を維持し、検出を回避するために計算されたアプローチを採用しています。特に、このマルウェアは、午前1時から午前5時の間にマイニング操作をスケジュールしており、通常のビジネス時間中にシステム管理者に発見されるリスクを最小限に抑えています。Kasperskyの分析では、このキャンペーンが主に工業企業や工学教育機関をターゲットとしていることが示されており、知的財産や運用データの価値が高いセクターを戦略的に重点的に狙っていることが示唆されています。フィッシングメールはロシア語で作成されており、ロシア語を話す被害者に対するグループの意図を強調しています。このターゲットを絞った方法論は、地域内のサイバー攻撃の複雑さと精度の向上を強調しています。
フィッシングインフラと認証情報盗難戦術
Kasperskyの調査では、レア・ウルフキャンペーンに関連する可能性のある複数のドメイン、例えばusers-mail[.]ruやdeauthorization[.]onlineが明らかになりました。これらのドメインは、Mail.ruなどの人気のあるロシアのメールサービスを模倣したフィッシングページをホストしており、ログイン認証情報を捕捉するためのPHPスクリプトを使用しています。これらのドメインがグループと直接関連しているとの信頼度は中程度ですが、キャンペーン中のアクティブな状態は、認証情報盗難をサポートする強固なフィッシングインフラを示しています。この多層的な攻撃戦略は、グループがフィッシングを通じて初期アクセスを獲得し、ターゲットネットワーク内での制御を拡大することを可能にします。
CIS地域におけるサイバーセキュリティへの影響
レア・ウルフキャンペーンの持続性は、最近5月にも攻撃が観察されたことから、ロシアおよびCISの組織が直面している脅威の風景が進化していることを示しています。認証情報盗難と隠密な暗号通貨マイニングの組み合わせは、機密データを侵害するだけでなく、システムパフォーマンスを低下させ、運用コストを増加させます。セキュリティ専門家は、こうした脅威を軽減するために、従業員の認識トレーニング、堅牢なメールフィルタリングソリューション、継続的なネットワーク監視の重要性を強調しています。組織には、多要素認証の実装やセキュリティプロトコルの定期的な更新を行い、洗練されたフィッシングスキームに対抗することが求められています。
結論
レア・ウルフのAPTキャンペーンは、ロシアおよびCISの企業をターゲットとしたサイバー犯罪の運営がますます洗練されていることを示しています。ターゲットを絞ったフィッシング、認証情報の盗難、隠れた暗号マイニングを組み合わせることで、このグループは工業および教育セクターに対して重大なリスクをもたらしています。こうした持続的な脅威に対抗し、重要なインフラを継続的な悪用から保護するためには、注意と積極的なサイバーセキュリティ措置が不可欠です。
