サイバー犯罪キャンペーンがインフォスティーラーを拡散し、Web3ゲームへのリスクを浮き彫りに
Insikt Groupは、偽のWeb3ゲームイニシアチブを使用して、macOSとWindowsの両方のユーザーから情報を盗むように設計されたマルウェアを配布する、ロシア語の大規模なサイバー犯罪活動を調査しています。 ブロックチェーン技術をベースにしたこれらのWeb3ゲームは、暗号通貨の収益を通じて金銭的利益を得る可能性を提供します。
欺瞞のウェブ:模倣Web3ゲーム詐欺とマルウェア感染の台頭
このキャンペーンでは、正当に見えるように名前やブランディングを少し変更した模倣Web3ゲームプロジェクトを作成し、その信憑性を高めるために偽のソーシャルメディアアカウントを作成します。 これらのプロジェクトのメインWebページにはダウンロードが用意されており、インストールすると、オペレーティングシステムに応じて、Atomic macOS Stealer(AMOS)、Stealc、 Rhadamanthys、RiseProなどのさまざまな種類の「インフォスティーラー」マルウェアにデバイスに感染します。
不正なWeb3ゲームプロジェクトの状況(出典:Recorded Future)
このキャンペーンはWeb3ゲーマーを対象としており、利益を追求するためにサイバーハイジーンの潜在的な欠如を悪用しています。 これは、さまざまなマルウェアを利用してユーザーのシステムを危険にさらす、重大なクロスプラットフォームの脅威を表しています。 脅威アクターは回復力のあるインフラストラクチャを準備しており、ブランドを変更したり、検出に焦点を移したりすることで迅速に適応できるようにしています。 このレポートでは、継続的な警戒の必要性を強調し、個人や組織がこれらの高度なフィッシング戦術に対して包括的な緩和戦略を採用することを推奨しています。
具体的な調査結果では、AMOSを含むマルウェアバージョンがIntelとApple M1の両方のMacに感染する可能性があることが明らかになり、ユーザーの間で広範な脆弱性が存在することが示唆されています。 主な目的は、暗号通貨ウォレットの盗難であるように思われ、 金融の安全性に大きなリスクをもたらします。 エンドポイント検出やウイルス対策ソフトウェアなどの潜在的な緩和策にもかかわらず、キャンペーンの手法は依然として効果的であり、より広範な防御対策の必要性を示唆しています。 HTMLコード内のアーティファクトは、脅威アクターのロシアの起源を示唆していますが、正確な場所は不明のままです。 このレポートは、未確認のソースからのダウンロードを防ぐための認識と教育が不可欠であることを強調し、そのような脅威に適切に対処しない場合、正当なWeb3ゲームプロジェクトに対するブランドダメージのリスクを強調しています。
分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。
付録A — 侵害を示す指標
ドメイン: ai-zerolend[.]xyz アルゴンゲーム[.]コム アルゴンゲーム[.]遊び アルゴンゲーム[.]ネットワーク アルゴンゲーム[.]xyz アストラチオン[.]イオ アストラチオンゲーム[.]コム アストラチオンゲーム[.]イオ アストラチオンプレイ[.]コム アストラチオンプレイ[.]イオ blastl2[.]網 cosmicwayrb[.]組織 クリプテリウム[.]世界 crypteriumplay[.]コム crypteriumplay[.]イオ クリプテリウムワールド[.]イオ ダストファイター[.]イオ ダストファイター[.]間 Dustfighterゲーム[.]コム ダストオペレーション[.]xyz 配偶体[.]コム プレイアストラシオン[.]コム プレイクリプテリウム[.]コム プレイクリプテリウム[.]イオ testload[.]pythonanywhere[.]コム ベザーテスター[.]組織 ベザー[.]組織 ワールドクリプテリウム[.]イオ IPアドレス: 5.42.64[.]83 5.42.65[.]55 5.42.65[.]102 5.42.65[.]106 5.42.65[.]107 5.42.66[.]22 5.42.67[.]1 31.31.196[.]178 31.31.196[.]161 82.115.223[.]26 89.105.201[.]132 144.76.184[.]11 193.163.7[.]160 ファイル ハッシュ: 073d524d8fc005acc05162f2e8574688a076d7888ec180c0ff78cab09b92ce95 0d9877eefd26756e2ecee3d806d60cb72bcb33d880f06e2f0e12c7c85d963426 0ed67ebecabb5fd7c4d41e521054154dbda0712845cb6f1b5b403c9f4d71ed4a 434878a4416201b4f26d1414be9126ae562c9f5be3f65168e48c0e95560460ac 4841020c8bd06b08fde6e44cbe2e2ab33439e1c8368e936ec5b00dc0584f7260 5136A49A682AC8D7F1CES71B211DE8688FCE42ED57210AF087A8E2DBC8A934062 56a11900f952776d17637e9186e3954739c0d9039bf7c0aa7605a00a61bd6543 63724fbab837988311a551d4d9540577f822e23c49864095f568324352c0d1fd 74ebbac956e519e16923abdc5ab8912098a4f64e38ddcb2eae23969f306afe5a 7D35DD19EE508C74C159E82F99C0483114E9B5B30F9BC2BD41C37B83CFBCD92D 8934aaeb65b6e6d253dfe72dea5d65856bd871e989d5d3a2a35edfe867bb4825 8D7DF60DD146ade3CEF2BFB252DFE81139F0A756C2B9611AAA6A972424F8AF85 AC5C92FE6C51CFA742E475215B83B3E11A4379820043263BF50D4068686C6FA5 b2e2859dd87628d046ac9da224b435d09dd856d9ad3ede926aa5e1dc9903ffe8 ba06a6ee0b15f5be5c4e67782eec8b521e36c107a329093ec400fe0404eb196a C299089ACA754950F7427E6946A980CEDFDED633AB3D55CA0AA5313BB2CC316C CCD6375CD513412C28A4E8D0FDEDF6603F49A4AC5CD34DDD53CC72F08209BD83 E1657101815C73D9efd1A35567E6DA0E1B00F176AC7D5A8D3F88B06A5602C320 EA592D5CA0350A3E46E3DE9C6ADD352CD923206D1DCC45244E7A0A3C049462A4 EDD043F2005DBD5902FC421EAB9472A7266950C5CBACA34E2D590B17D12F5FA f5e3f5d769efc49879b640334d6919bdb5ba7cae403317c8bd79d042803e20ce F6893FBA30DB87C2415A1E44B1F03E5E57AC14F9dbd2C3B0C733692472F099FD fabfe1bcce7eade07a30ff7d073859e2a8654c41da1f784d3b58da40aaeef682 |
付録B — MITRE ATT&CK手法
戦術:手法 | ATT&CKコード |
データの難読化 | T1001 |
ローカルシステムからのデータ | T1005 |
クエリレジストリ | T1012 |
難読化されたファイルまたは情報 | T1027 |
C2チャンネルを介した流出 | T1041 |
スケジュール設定されたタスクまたはジョブ | T1053 |
プロセス検出 | T1057 |
コマンドとスクリプトインタプリタ | T1059 |
アプリケーション層プロトコル | T1071 |
システム情報検出 | T1082 |
レジストリの変更 | T1112 |
データエンコーディング:標準エンコーディング | T1132.001 |
間接コマンドの実行 | T1202 |
ユーザー実行 | T1204 |
ユーザー実行:悪意のあるリンク | T1204.001 |
ユーザー実行:悪意のあるファイル | T1204.002 |
仮想化/サンドボックス回避 | T1497 |
WebセッションCookieの盗難 | T1539 |
保護されていない認証情報 | T1552 |
セキュリティで保護されていない資格情報: ファイル内の資格情報 | T1552.001 |
ツールの無効化または変更 | T1562.001 |
フィッシング | T1566 |
インフラストラクチャの取得:ドメイン | T1583.001 |
インフラストラクチャの取得: Web サービス | T1583.006 |
インフラストラクチャの取得: マルバタイジング | T1583.008 |
アカウントの作成:ソーシャルメディアアカウント | T1585.001 |
能力の取得 | T1587 |
被害者のアイデンティティ情報の収集:クレデンシャル | T1589.001 |
被害者ホスト情報の収集:ソフトウェア | T1592.002 |
金融盗難 | T1657 |
付録C:ドメインとIPの相関関係
ドメイン | 作成 | IPアドレス | サーバー | 能動 |
アストラチオン[.]イオ | 2023-10-31 | 5.42.66[.]22 | nginx/1.22.0 | いいえ |
アストラチオンプレイ[.]イオ | 2024-01-20 | 5.42.66[.]22 | ゴルフ2 | いいえ |
アストラチオンプレイ[.]コム | 2024-01-21 | 5.42.66[.]22 | ゴルフ2 | いいえ |
アストラチオンゲーム[.]コム | 2024-02-07 | 5.42.66[.]22 | nginx/1.22.0 | いいえ |
アストラチオンゲーム[.]イオ | 2024-02-07 | 5.42.66[.]22 | nginx/1.22.0 | いいえ |
プレイアストラシオン[.]コム | 2024-02-08 | 5.42.66[.]22 | nginx/1.22.0 | いいえ |
gameastration[.]コム | 2024-02-12 | 5.42.66[.]22 | nginx/1.22.0 | はい |
ダストファイター[.]イオ | 2024-01-31 | 5.42.65[.]102 | nginx/1.22.0 | はい |
ダストファイター[.]間 | 2024-02-22 | 5.42.65[.]102 | 該当なし | いいえ |
Dustfighterゲーム[.]コム | 2024-02-26 | Cloudflare | Cloudflare | はい |
ダストオペレーション[.]xyz | 2024-02-25 | 31.31.196[.]178 | nginxの | はい |
ai-zerolend[.]xyz | 2024-02-23 | 31.31.196[.]161 | 該当なし | いいえ |
cosmicwayrb[.]組織 | 2023-10-27 | Cloudflare | Cloudflare | はい |
アルゴンゲーム[.]コム | 2023-12-16 | Cloudflare | Cloudflare | はい |
アルゴンゲーム[.]ネットワーク | 2024-02-04 | Cloudflare | Cloudflare | はい |
アルゴンゲーム[.]遊び | 2024-02-04 | Cloudflare | Cloudflare | いいえ |
アルゴンゲーム[.]xyz | 2024-02-04 | Cloudflare | Cloudflare | はい |
crypteriumplay[.]コム | 2023-09-09 | 5.42.67[.]1 | nginx/1.22.0 | いいえ |
プレイクリプテリウム[.]コム | 2023-09-19 | 5.42.67[.]1 | nginx/1.22.0 | いいえ |
プレイクリプテリウム[.]イオ | 2023-10-11 | 5.42.67[.]1 | nginx/1.22.0 | いいえ |
ワールドクリプテリウム[.]イオ | 2023-09-06 | 5.42.67[.]1 | nginx/1.22.0 | いいえ |
クリプテリウム[.]世界 | 2023-08-03 | Cloudflare | Cloudflare | いいえ |
クリプテリウムワールド[.]イオ | 2023-08-28 | 5.42.64[.]83 | nginx/1.22.0 | いいえ |
crypteriumplay[.]イオ | 2023-10-25 | 5.42.65[.]102 | アリユンOSS | いいえ |
ベザー[.]組織 | 2023-11-30 | Cloudflare | Cloudflare | はい |
ベテーターテスター[.]組織 | 2024-01-30 | 82.115.223[.]26 | nginx/1.20.2 の | はい |
関連