サイバー犯罪キャンペーンがインフォスティーラーを拡散し、Web3ゲームへのリスクを浮き彫りに
Insikt Groupは、不正なWeb3ゲームプロジェクトを利用して、macOSとWindows デバイスの両方に複数の情報窃盗亜種(「情報窃取型マルウェア」)マルウェアを配信する大規模なロシア語のサイバー犯罪キャンペーンを特定しました。Web3ゲームとは、ブロックチェーン技術に基づいて構築されたオンラインゲームを指し、さまざまな暗号通貨を稼ぐプレーヤーに金銭的利益をもたらす可能性があります。これらの不正なWeb3プロジェクトは、プロジェクト名とブランディングをわずかに変更して、正当なプロジェクトを模倣しています。この不正なブランディングには、正当なプロジェクトを偽装し、本物であるかのように見せかける複数のソーシャルメディアアカウントも含まれます。
このキャンペーンの対象が絞られていることから、脅威アクターはWeb3ゲーマーにソーシャルエンジニアリングに対するより深刻な脆弱性があると認識している可能性があります。これは、利益を追求する上で、サイバー衛生上のトレードオフ(つまり、Web3ゲーマーがサイバー犯罪に対して実施している保護が少なくなる可能性がある)が想定されているためです。キャンペーンの背後にいる脅威アクターは冗長性と継続性を実現するために必要なインフラストラクチャを構築しています。同キャンペーンのアジャイルな性質は回復力を暗示します。つまり、脅威アクターが特定されれば、撤退したりブランドを変更したりするのは比較的簡単かもしれません。このキャンペーンで配布されたAMOSのバージョンは、IntelベースのMacとARMベースの(Apple M1)Macの両方に感染する可能性があることがわかりました。つまり、どちらのチップセットを使用している場合でも、この情報窃取型マルウェアに対して脆弱である可能性があります。Web3ゲームプロジェクトの視聴者数を考えれば、脅威アクターが主に暗号通貨ウォレットの被害者を標的にしていることはほぼ確実です。Web3と暗号通貨のセキュリティの両方において、総コストの面から見てウォレットの侵害が引き続き最大の脅威であるため、このキャンペーンの最終目標はウォレット侵害である可能性が高いと当社は考えています。ただし、収集された認証情報がさまざまな不正なアカウントアクセスに使用される可能性もあります。
このキャンペーンの戦術、技術、手順(TTP)は、エンドポイントの検出と応答(EDR)またはアンチウイルス(AV)製品のみに基づく緩和策に対して継続的な有効性を提供します。標的となる個人と組織は、包括的な緩和戦略でこのキャンペーンのクロスプラットフォームの脅威に対応する必要があります。これらのプロジェクトのHTMLコードにロシア語のアーティファクトが含まれていることから、脅威アクターはロシア語話者である可能性が高いと考えられます。正確な場所を特定することはできませんが、このようなアーティファクトの存在は、脅威アクターがロシアまたは独立国家共同体(CIS)内の国に存在する可能性があることを示唆しています。
このキャンペーンを継続的に監視することは不可能であり、個人や組織はより広範な攻撃ベクトル自体に対して緩和策を実装する必要があります。このキャンペーンは「トラップフィッシング」ソフトウェアのダウンロードを通じて広がるため、潜在的な被害者が未確認の非公式ソースからソフトウェアをダウンロードするのを思いとどまらせるために、包括的な意識向上とユーザー教育キャンペーンが不可欠となります。その他の推奨事項については、本レポートの軽減策のセクションで説明しています。
Web3ゲームまたは隣接する業界(より広範なゲーム業界や暗号通貨取引所など)で事業を行っている組織は、このキャンペーンの一環としてプロジェクトがなりすまし被害を受けるリスクがあり、是正しないとブランドが著しく損なわれる可能性があります。ブランド毀損による経済的損失を判断することは困難ですが、このようなキャンペーンに対処しないと、影響を受けるWeb3プロジェクトはユーザーベース全体とWeb3ゲーム業界全体における評判を損なうリスクがあります。このキャンペーンのアジャイル性を考えると、これらの脅威アクターは引き続き情報窃取型マルウェアを含むWeb3ゲームプロジェクトを標的にする可能性が高いと当社は考えています。
欺瞞のウェブ:模倣Web3ゲーム詐欺とマルウェア感染の台頭
このキャンペーンでは、正当に見えるように名前やブランディングを少し変更した模倣Web3ゲームプロジェクトを作成し、その信憑性を高めるために偽のソーシャルメディアアカウントを作成します。 これらのプロジェクトのメインWebページにはダウンロードが用意されており、インストールすると、オペレーティングシステムに応じて、Atomic macOS Stealer(AMOS)、Stealc、 Rhadamanthys、RiseProなどのさまざまな種類の「インフォスティーラー」マルウェアにデバイスに感染します。
不正なWeb3ゲームプロジェクトの状況(出典:Recorded Future)
このキャンペーンは、Web3のゲーマーを標的としており、その潜在的なサイバー衛生の欠如を悪用して利益を追求しています。これは、さまざまなマルウェアを利用してユーザーのシステムを侵害する、重大なクロスプラットフォームの脅威です。この脅威アクターは、ブランドの変更や検出への焦点の移行を通じて迅速に適応できるよう、回復力のあるインフラストラクチャを用意しています。本レポートでは継続的な警戒の必要性を強調し、個人や組織がこれらの高度なフィッシング戦術に対する包括的な緩和戦略を採用することを推奨しています。
具体的な調査結果から、AMOSを含むマルウェアのバージョンはIntelおよびApple M1 Macの両方に感染する可能性があることが明らかになり、ユーザーの間に広範な脆弱性があることが示されています。主な目的は金融セキュリティに重大なリスクをもたらす暗号通貨ウォレットの窃盗であるようです。エンドポイント検出やウイルス対策ソフトウェアなどの潜在的な緩和策にもかかわらず、同キャンペーンの手法は引き続き有効であり、より広範な防御策が必要であることを示唆しています。HTMLコード内のアーティファクトは脅威アクターがロシア起源であることを示唆していますが、正確な場所は不明です。本レポートは、確認されていないソースからのダウンロードを防止するための認識と教育の重要な必要性を強調し、このような脅威に適切に対処しない場合、合法的なWeb3ゲームプロジェクトにブランド毀損のリスクがあることを強調しています。
分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。
注:本レポートの概要は2024年4月11日に発表され、2024年10月29日に更新されました。当初の分析と調査結果に変更はありません。
付録A — 侵害を示す指標
ドメイン: ai-zerolend[.]xyz argongame[.]com argongame[.]fun argongame[.]network argongame[.]xyz astration[.]io astrationgame[.]com astrationgame[.]io astrationplay[.]com astrationplay[.]io blastl2[.]net cosmicwayrb[.]org crypterium[.]world crypteriumplay[.]com crypteriumplay[.]io crypteriumworld[.]io dustfighter[.]io dustfighter[.]space dustfightergame[.]com dustoperation[.]xyz gameastration[.]com playastration[.]com playcrypterium[.]com playcrypterium[.]io testload[.]pythonanywhere[.]com vether-testers[.]org vether[.]org worldcrypterium[.]io IP Addresses: 5.42.64[.]83 5.42.65[.]55 5.42.65[.]102 5.42.65[.]106 5.42.65[.]107 5.42.66[.]22 5.42.67[.]1 31.31.196[.]178 31.31.196[.]161 82.115.223[.]26 89.105.201[.]132 144.76.184[.]11 193.163.7[.]160 File Hashes: 073d524d8fc005acc05162f2e8574688a076d7888ec180c0ff78cab09b92ce95 0d9877eefd26756e2ecee3d806d60cb72bcb33d880f06e2f0e12c7c85d963426 0ed67ebecabb5fd7c4d41e521054154dbda0712845cb6f1b5b403c9f4d71ed4a 434878a4416201b4f26d1414be9126ae562c9f5be3f65168e48c0e95560460ac 4841020c8bd06b08fde6e44cbe2e2ab33439e1c8368e936ec5b00dc0584f7260 5136a49a682ac8d7f1ce71b211de8688fce42ed57210af087a8e2dbc8a934062 56a11900f952776d17637e9186e3954739c0d9039bf7c0aa7605a00a61bd6543 63724fbab837988311a551d4d9540577f822e23c49864095f568324352c0d1fd 74ebbac956e519e16923abdc5ab8912098a4f64e38ddcb2eae23969f306afe5a 7d35dd19ee508c74c159e82f99c0483114e9b5b30f9bc2bd41c37b83cfbcd92d 8934aaeb65b6e6d253dfe72dea5d65856bd871e989d5d3a2a35edfe867bb4825 8d7df60dd146ade3cef2bfb252dfe81139f0a756c2b9611aaa6a972424f8af85 ac5c92fe6c51cfa742e475215b83b3e11a4379820043263bf50d4068686c6fa5 b2e2859dd87628d046ac9da224b435d09dd856d9ad3ede926aa5e1dc9903ffe8 ba06a6ee0b15f5be5c4e67782eec8b521e36c107a329093ec400fe0404eb196a c299089aca754950f7427e6946a980cedfded633ab3d55ca0aa5313bb2cc316c ccd6375cd513412c28a4e8d0fdedf6603f49a4ac5cd34ddd53cc72f08209bd83 e1657101815c73d9efd1a35567e6da0e1b00f176ac7d5a8d3f88b06a5602c320 ea592d5ca0350a3e46e3de9c6add352cd923206d1dcc45244e7a0a3c049462a4 edd043f2005dbd5902fc421eabb9472a7266950c5cbaca34e2d590b17d12f5fa f5e3f5d769efc49879b640334d6919bdb5ba7cae403317c8bd79d042803e20ce f6893fba30db87c2415a1e44b1f03e5e57ac14f9dbd2c3b0c733692472f099fd fabfe1bcce7eade07a30ff7d073859e2a8654c41da1f784d3b58da40aaeef682 |
付録B — MITRE ATT&CK手法
戦術:手法 | ATT&CKコード |
データの難読化 | T1001 |
ローカルシステムからのデータ | T1005 |
クエリレジストリ | T1012 |
難読化されたファイルまたは情報 | T1027 |
C2チャンネルを介した流出 | T1041 |
スケジュール設定されたタスクまたはジョブ | T1053 |
プロセス検出 | T1057 |
コマンドとスクリプトインタプリタ | T1059 |
アプリケーション層プロトコル | T1071 |
システム情報検出 | T1082 |
レジストリの変更 | T1112 |
Data Encoding: Standard Encoding | T1132.001 |
間接コマンドの実行 | T1202 |
ユーザー実行 | T1204 |
ユーザー実行: Malicious Link | T1204.001 |
ユーザー実行: Malicious File | T1204.002 |
仮想化/サンドボックス回避 | T1497 |
WebセッションCookieの盗難 | T1539 |
保護されていない認証情報 | T1552 |
保護されていない認証情報: Credentials in Files | T1552.001 |
ツールの無効化または変更 | T1562.001 |
フィッシング | T1566 |
Acquire Infrastructure: Domains | T1583.001 |
Acquire Infrastructure: Web Services | T1583.006 |
Acquire Infrastructure: マルバタイジング | T1583.008 |
Establish Accounts: Social Media Accounts | T1585.001 |
能力の取得 | T1587 |
Gather Victim Identity Information: Credentials | T1589.001 |
Gather Victim Host Information: Software | T1592.002 |
金融盗難 | T1657 |
付録C:ドメインとIPの相関関係
ドメイン | 作成 | IPアドレス | サーバー | 能動 |
アストラチオン[.]イオ | 2023-10-31 | 5.42.66[.]22 | nginx/1.22.0 | いいえ |
アストラチオンプレイ[.]イオ | 2024-01-20 | 5.42.66[.]22 | ゴルフ2 | いいえ |
アストラチオンプレイ[.]コム | 2024-01-21 | 5.42.66[.]22 | ゴルフ2 | いいえ |
アストラチオンゲーム[.]コム | 2024-02-07 | 5.42.66[.]22 | nginx/1.22.0 | いいえ |
アストラチオンゲーム[.]イオ | 2024-02-07 | 5.42.66[.]22 | nginx/1.22.0 | いいえ |
プレイアストラシオン[.]コム | 2024-02-08 | 5.42.66[.]22 | nginx/1.22.0 | いいえ |
gameastration[.]コム | 2024-02-12 | 5.42.66[.]22 | nginx/1.22.0 | はい |
ダストファイター[.]イオ | 2024-01-31 | 5.42.65[.]102 | nginx/1.22.0 | はい |
ダストファイター[.]間 | 2024-02-22 | 5.42.65[.]102 | 該当なし | いいえ |
Dustfighterゲーム[.]コム | 2024-02-26 | Cloudflare | Cloudflare | はい |
ダストオペレーション[.]xyz | 2024-02-25 | 31.31.196[.]178 | nginxの | はい |
ai-zerolend[.]xyz | 2024-02-23 | 31.31.196[.]161 | 該当なし | いいえ |
cosmicwayrb[.]組織 | 2023-10-27 | Cloudflare | Cloudflare | はい |
アルゴンゲーム[.]コム | 2023-12-16 | Cloudflare | Cloudflare | はい |
アルゴンゲーム[.]ネットワーク | 2024-02-04 | Cloudflare | Cloudflare | はい |
アルゴンゲーム[.]遊び | 2024-02-04 | Cloudflare | Cloudflare | いいえ |
アルゴンゲーム[.]xyz | 2024-02-04 | Cloudflare | Cloudflare | はい |
crypteriumplay[.]コム | 2023-09-09 | 5.42.67[.]1 | nginx/1.22.0 | いいえ |
プレイクリプテリウム[.]コム | 2023-09-19 | 5.42.67[.]1 | nginx/1.22.0 | いいえ |
プレイクリプテリウム[.]イオ | 2023-10-11 | 5.42.67[.]1 | nginx/1.22.0 | いいえ |
ワールドクリプテリウム[.]イオ | 2023-09-06 | 5.42.67[.]1 | nginx/1.22.0 | いいえ |
クリプテリウム[.]世界 | 2023-08-03 | Cloudflare | Cloudflare | いいえ |
クリプテリウムワールド[.]イオ | 2023-08-28 | 5.42.64[.]83 | nginx/1.22.0 | いいえ |
crypteriumplay[.]イオ | 2023-10-25 | 5.42.65[.]102 | アリユンOSS | いいえ |
ベザー[.]組織 | 2023-11-30 | Cloudflare | Cloudflare | はい |
ベテーターテスター[.]組織 | 2024-01-30 | 82.115.223[.]26 | nginx/1.20.2 の | はい |
関連ニュース&研究