Insiktレポート

サイバー犯罪キャンペーンがインフォスティーラーを拡散し、Web3ゲームへのリスクを浮き彫りに

投稿: 2024年4月11日
作成者 : Insikt Group®

insikt-group-logo-updated-3-300x48.png

Insikt Groupは、不正なWeb3ゲームプロジェクトを利用して、macOSとWindows デバイスの両方に複数の情報窃盗亜種(「情報窃取型マルウェア」)マルウェアを配信する大規模なロシア語のサイバー犯罪キャンペーンを特定しました。Web3ゲームとは、ブロックチェーン技術に基づいて構築されたオンラインゲームを指し、さまざまな暗号通貨を稼ぐプレーヤーに金銭的利益をもたらす可能性があります。これらの不正なWeb3プロジェクトは、プロジェクト名とブランディングをわずかに変更して、正当なプロジェクトを模倣しています。この不正なブランディングには、正当なプロジェクトを偽装し、本物であるかのように見せかける複数のソーシャルメディアアカウントも含まれます。

このキャンペーンの対象が絞られていることから、脅威アクターはWeb3ゲーマーにソーシャルエンジニアリングに対するより深刻な脆弱性があると認識している可能性があります。これは、利益を追求する上で、サイバー衛生上のトレードオフ(つまり、Web3ゲーマーがサイバー犯罪に対して実施している保護が少なくなる可能性がある)が想定されているためです。キャンペーンの背後にいる脅威アクターは冗長性と継続性を実現するために必要なインフラストラクチャを構築しています。同キャンペーンのアジャイルな性質は回復力を暗示します。つまり、脅威アクターが特定されれば、撤退したりブランドを変更したりするのは比較的簡単かもしれません。このキャンペーンで配布されたAMOSのバージョンは、IntelベースのMacとARMベースの(Apple M1)Macの両方に感染する可能性があることがわかりました。つまり、どちらのチップセットを使用している場合でも、この情報窃取型マルウェアに対して脆弱である可能性があります。Web3ゲームプロジェクトの視聴者数を考えれば、脅威アクターが主に暗号通貨ウォレットの被害者を標的にしていることはほぼ確実です。Web3と暗号通貨のセキュリティの両方において、総コストの面から見てウォレットの侵害が引き続き最大の脅威であるため、このキャンペーンの最終目標はウォレット侵害である可能性が高いと当社は考えています。ただし、収集された認証情報がさまざまな不正なアカウントアクセスに使用される可能性もあります。

このキャンペーンの戦術、技術、手順(TTP)は、エンドポイントの検出と応答(EDR)またはアンチウイルス(AV)製品のみに基づく緩和策に対して継続的な有効性を提供します。標的となる個人と組織は、包括的な緩和戦略でこのキャンペーンのクロスプラットフォームの脅威に対応する必要があります。これらのプロジェクトのHTMLコードにロシア語のアーティファクトが含まれていることから、脅威アクターはロシア語話者である可能性が高いと考えられます。正確な場所を特定することはできませんが、このようなアーティファクトの存在は、脅威アクターがロシアまたは独立国家共同体(CIS)内の国に存在する可能性があることを示唆しています。

このキャンペーンを継続的に監視することは不可能であり、個人や組織はより広範な攻撃ベクトル自体に対して緩和策を実装する必要があります。このキャンペーンは「トラップフィッシング」ソフトウェアのダウンロードを通じて広がるため、潜在的な被害者が未確認の非公式ソースからソフトウェアをダウンロードするのを思いとどまらせるために、包括的な意識向上とユーザー教育キャンペーンが不可欠となります。その他の推奨事項については、本レポートの軽減策のセクションで説明しています。

Web3ゲームまたは隣接する業界(より広範なゲーム業界や暗号通貨取引所など)で事業を行っている組織は、このキャンペーンの一環としてプロジェクトがなりすまし被害を受けるリスクがあり、是正しないとブランドが著しく損なわれる可能性があります。ブランド毀損による経済的損失を判断することは困難ですが、このようなキャンペーンに対処しないと、影響を受けるWeb3プロジェクトはユーザーベース全体とWeb3ゲーム業界全体における評判を損なうリスクがあります。このキャンペーンのアジャイル性を考えると、これらの脅威アクターは引き続き情報窃取型マルウェアを含むWeb3ゲームプロジェクトを標的にする可能性が高いと当社は考えています。

欺瞞のウェブ:模倣Web3ゲーム詐欺とマルウェア感染の台頭

このキャンペーンでは、正当に見えるように名前やブランディングを少し変更した模倣Web3ゲームプロジェクトを作成し、その信憑性を高めるために偽のソーシャルメディアアカウントを作成します。 これらのプロジェクトのメインWebページにはダウンロードが用意されており、インストールすると、オペレーティングシステムに応じて、Atomic macOS Stealer(AMOS)、Stealc、 Rhadamanthys、RiseProなどのさまざまな種類の「インフォスティーラー」マルウェアにデバイスに感染します。

Fraudulent Web3 gaming project status (Source: Recorded Future) 不正なWeb3ゲームプロジェクトの状況(出典:Recorded Future)

このキャンペーンは、Web3のゲーマーを標的としており、その潜在的なサイバー衛生の欠如を悪用して利益を追求しています。これは、さまざまなマルウェアを利用してユーザーのシステムを侵害する、重大なクロスプラットフォームの脅威です。この脅威アクターは、ブランドの変更や検出への焦点の移行を通じて迅速に適応できるよう、回復力のあるインフラストラクチャを用意しています。本レポートでは継続的な警戒の必要性を強調し、個人や組織がこれらの高度なフィッシング戦術に対する包括的な緩和戦略を採用することを推奨しています。

具体的な調査結果から、AMOSを含むマルウェアのバージョンはIntelおよびApple M1 Macの両方に感染する可能性があることが明らかになり、ユーザーの間に広範な脆弱性があることが示されています。主な目的は金融セキュリティに重大なリスクをもたらす暗号通貨ウォレットの窃盗であるようです。エンドポイント検出やウイルス対策ソフトウェアなどの潜在的な緩和策にもかかわらず、同キャンペーンの手法は引き続き有効であり、より広範な防御策が必要であることを示唆しています。HTMLコード内のアーティファクトは脅威アクターがロシア起源であることを示唆していますが、正確な場所は不明です。本レポートは、確認されていないソースからのダウンロードを防止するための認識と教育の重要な必要性を強調し、このような脅威に適切に対処しない場合、合法的なWeb3ゲームプロジェクトにブランド毀損のリスクがあることを強調しています。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

注:本レポートの概要は2024年4月11日に発表され、2024年10月29日に更新されました。当初の分析と調査結果に変更はありません。

付録A — 侵害を示す指標

ドメイン:
ai-zerolend[.]xyz
argongame[.]com
argongame[.]fun
argongame[.]network
argongame[.]xyz
astration[.]io
astrationgame[.]com
astrationgame[.]io
astrationplay[.]com
astrationplay[.]io
blastl2[.]net
cosmicwayrb[.]org
crypterium[.]world
crypteriumplay[.]com
crypteriumplay[.]io
crypteriumworld[.]io
dustfighter[.]io
dustfighter[.]space
dustfightergame[.]com
dustoperation[.]xyz
gameastration[.]com
playastration[.]com
playcrypterium[.]com
playcrypterium[.]io
testload[.]pythonanywhere[.]com
vether-testers[.]org
vether[.]org
worldcrypterium[.]io


IP Addresses:
5.42.64[.]83
5.42.65[.]55
5.42.65[.]102
5.42.65[.]106
5.42.65[.]107
5.42.66[.]22
5.42.67[.]1
31.31.196[.]178
31.31.196[.]161
82.115.223[.]26
89.105.201[.]132
144.76.184[.]11
193.163.7[.]160


File Hashes:
073d524d8fc005acc05162f2e8574688a076d7888ec180c0ff78cab09b92ce95
0d9877eefd26756e2ecee3d806d60cb72bcb33d880f06e2f0e12c7c85d963426
0ed67ebecabb5fd7c4d41e521054154dbda0712845cb6f1b5b403c9f4d71ed4a
434878a4416201b4f26d1414be9126ae562c9f5be3f65168e48c0e95560460ac
4841020c8bd06b08fde6e44cbe2e2ab33439e1c8368e936ec5b00dc0584f7260
5136a49a682ac8d7f1ce71b211de8688fce42ed57210af087a8e2dbc8a934062
56a11900f952776d17637e9186e3954739c0d9039bf7c0aa7605a00a61bd6543
63724fbab837988311a551d4d9540577f822e23c49864095f568324352c0d1fd
74ebbac956e519e16923abdc5ab8912098a4f64e38ddcb2eae23969f306afe5a
7d35dd19ee508c74c159e82f99c0483114e9b5b30f9bc2bd41c37b83cfbcd92d
8934aaeb65b6e6d253dfe72dea5d65856bd871e989d5d3a2a35edfe867bb4825
8d7df60dd146ade3cef2bfb252dfe81139f0a756c2b9611aaa6a972424f8af85
ac5c92fe6c51cfa742e475215b83b3e11a4379820043263bf50d4068686c6fa5
b2e2859dd87628d046ac9da224b435d09dd856d9ad3ede926aa5e1dc9903ffe8
ba06a6ee0b15f5be5c4e67782eec8b521e36c107a329093ec400fe0404eb196a
c299089aca754950f7427e6946a980cedfded633ab3d55ca0aa5313bb2cc316c
ccd6375cd513412c28a4e8d0fdedf6603f49a4ac5cd34ddd53cc72f08209bd83
e1657101815c73d9efd1a35567e6da0e1b00f176ac7d5a8d3f88b06a5602c320
ea592d5ca0350a3e46e3de9c6add352cd923206d1dcc45244e7a0a3c049462a4
edd043f2005dbd5902fc421eabb9472a7266950c5cbaca34e2d590b17d12f5fa
f5e3f5d769efc49879b640334d6919bdb5ba7cae403317c8bd79d042803e20ce
f6893fba30db87c2415a1e44b1f03e5e57ac14f9dbd2c3b0c733692472f099fd
fabfe1bcce7eade07a30ff7d073859e2a8654c41da1f784d3b58da40aaeef682


付録B — MITRE ATT&CK手法

戦術:手法 ATT&CKコード
データの難読化 T1001
ローカルシステムからのデータ T1005
クエリレジストリ T1012
難読化されたファイルまたは情報 T1027
C2チャンネルを介した流出 T1041
スケジュール設定されたタスクまたはジョブ T1053
プロセス検出 T1057
コマンドとスクリプトインタプリタ T1059
アプリケーション層プロトコル T1071
システム情報検出 T1082
レジストリの変更 T1112
Data Encoding: Standard Encoding T1132.001
間接コマンドの実行 T1202
ユーザー実行 T1204
ユーザー実行: Malicious Link T1204.001
ユーザー実行: Malicious File T1204.002
仮想化/サンドボックス回避 T1497
WebセッションCookieの盗難 T1539
保護されていない認証情報 T1552
保護されていない認証情報: Credentials in Files T1552.001
ツールの無効化または変更 T1562.001
フィッシング T1566
Acquire Infrastructure: Domains T1583.001
Acquire Infrastructure: Web Services T1583.006
Acquire Infrastructure: マルバタイジング T1583.008
Establish Accounts: Social Media Accounts T1585.001
能力の取得 T1587
Gather Victim Identity Information: Credentials T1589.001
Gather Victim Host Information: Software T1592.002
金融盗難 T1657



付録C:ドメインとIPの相関関係

ドメイン 作成 IPアドレス サーバー 能動
アストラチオン[.]イオ 2023-10-31 5.42.66[.]22 nginx/1.22.0 いいえ
アストラチオンプレイ[.]イオ 2024-01-20 5.42.66[.]22 ゴルフ2 いいえ
アストラチオンプレイ[.]コム 2024-01-21 5.42.66[.]22 ゴルフ2 いいえ
アストラチオンゲーム[.]コム 2024-02-07 5.42.66[.]22 nginx/1.22.0 いいえ
アストラチオンゲーム[.]イオ 2024-02-07 5.42.66[.]22 nginx/1.22.0 いいえ
プレイアストラシオン[.]コム 2024-02-08 5.42.66[.]22 nginx/1.22.0 いいえ
gameastration[.]コム 2024-02-12 5.42.66[.]22 nginx/1.22.0 はい
ダストファイター[.]イオ 2024-01-31 5.42.65[.]102 nginx/1.22.0 はい
ダストファイター[.]間 2024-02-22 5.42.65[.]102 該当なし いいえ
Dustfighterゲーム[.]コム 2024-02-26 Cloudflare Cloudflare はい
ダストオペレーション[.]xyz 2024-02-25 31.31.196[.]178 nginxの はい
ai-zerolend[.]xyz 2024-02-23 31.31.196[.]161 該当なし いいえ
cosmicwayrb[.]組織 2023-10-27 Cloudflare Cloudflare はい
アルゴンゲーム[.]コム 2023-12-16 Cloudflare Cloudflare はい
アルゴンゲーム[.]ネットワーク 2024-02-04 Cloudflare Cloudflare はい
アルゴンゲーム[.]遊び 2024-02-04 Cloudflare Cloudflare いいえ
アルゴンゲーム[.]xyz 2024-02-04 Cloudflare Cloudflare はい
crypteriumplay[.]コム 2023-09-09 5.42.67[.]1 nginx/1.22.0 いいえ
プレイクリプテリウム[.]コム 2023-09-19 5.42.67[.]1 nginx/1.22.0 いいえ
プレイクリプテリウム[.]イオ 2023-10-11 5.42.67[.]1 nginx/1.22.0 いいえ
ワールドクリプテリウム[.]イオ 2023-09-06 5.42.67[.]1 nginx/1.22.0 いいえ
クリプテリウム[.]世界 2023-08-03 Cloudflare Cloudflare いいえ
クリプテリウムワールド[.]イオ 2023-08-28 5.42.64[.]83 nginx/1.22.0 いいえ
crypteriumplay[.]イオ 2023-10-25 5.42.65[.]102 アリユンOSS いいえ
ベザー[.]組織 2023-11-30 Cloudflare Cloudflare はい
ベテーターテスター[.]組織 2024-01-30 82.115.223[.]26 nginx/1.20.2 の はい

関連ニュース&研究