Hackers Deploy Cobalt Strike Beacon Using GitHub and Social Media
2025/07/30 gbhackers — ロシアなどの IT 業界に混乱をもたらす、高度なサイバー攻撃キャンペーンの存在が確認されたが、そこでは Cobalt Strike Beacon が展開され、高度な検出回避技術が駆使されているという。 このキャンペーンを背後で操る攻撃者は、GitHub/Microsoft Learn Challenge/Quora に加えて、ロシアの SNS などのプラットフォーム上のユーザー・プロファイル内に、ペイロード情報を巧妙に隠している。つまり、悪意のデータを、正当なユーザーが生成するコンテンツに混在させることで、この攻撃者はセキュリティ検出の回避を試みている。この手法により、広く使用されるポスト・エクスプロイト・ツール Cobalt Strike の、複雑な実行チェーンの構築が可能になっている。
このキャンペーンがピークを迎えたのは、2024年11月〜12月であり、その後の 2025年4月まで継続していた。その後に、2か月の休止期間を挟み、最小限の変更を施したマルウェア亜種により、キャンペーンが再開された。
Kaspersky の Secure List が特定した脅威は、以下のとおりである:
- HEUR:Trojan.Win64.Agent.gen
- HEUR:Trojan.Win64.Kryptik.gen
- HEUR:Trojan.WinLNK.Starter.gen
- MEM:Trojan.Multi.Cobalt.gen
- HEUR:Trojan.Win32.CobaltStrike.gen
ロシアの IT セクターを標的とする手口
初期の感染経路は、大手国営石油/ガス会社からの送信を装うスピアフィッシング・メールであった。この攻撃者は、被害者が所有する製品への関心を装い、添付ファイルの開封を誘導した。
一連のスピアフィッシング・メールのサンプルに添付される RAR アーカイブには、”Требования.lnk” という名の悪意の LNK ファイルおよび、”Company Profile.pdf” や “List of requirements.pdf” といったルアー PD Fファイルに加えて、PDF に偽装された実行ファイルを取り込む隠しディレクトリが格納されていた。
続いて、上記の LNKファイル が実行されると、これらのファイルは “%public%\Downloads” にコピーされ、”nau.exe” (正規の BugSplat クラッシ・レポート・ユーティリティであり元々は BsSndRpt.exe) および、”BugSplatRc64.dll” (悪意の DLL) にリネームされる。その後に、”nau.exe” が起動される。
この処理は、DLL ハイジャック (MITRE T1574.001) であり、”nau.exe” などのユーティリティを騙して、正規の DLLではなく、不正な DLL を読み込ませるものである。
ペイロードの配信方法
それらの悪意の DLL が採用するのは、CRC (Cyclic Redundancy Check) に類似したカスタム・ハッシュ・アルゴリズムによる、動的 API 解決 (MITRE T1027.007) である。そのハッシュ値は XOR 暗号化されており、呼び出し後にアドレスが消去されるため、静的解析が困難であったという。
この DLL は、正規プロセス内に存在する MessageBoxW などの API 関数をフックし、その呼び出しをカスタム関数へリダイレクトした。それにより、2段階にわたるシェルコードの読み込みが開始される。
このカスタム関数は、”techcommunity.microsoft.com” や “quora.com” のプロフィール・ページなどの、暗号化された URL から HTML を取得し、base64 エンコードされた XOR 暗号化文字列を抽出する。それにより、GitHubリポジトリからの、さらなるダウンロード・リンクが明らかとなった。
リフレクティブ・ローダ (MITRE T1620) により読み込まれたシェルコードは、メモリへと Cobalt Strike Beacon を挿入し、”moeodincovo[.]com/divide/mail/SUVVJRQO8QRC” などの Command and Control (C2) サーバとの通信を確立する。
この攻撃キャンペーンは、EastWind APT による攻撃で確認された、いくつかの特徴との関連性が示唆されている。つまり、プラットフォーム・プロファイル内における XOR 暗号化 URL の利用や、ロシアの IT 企業に対する重複した標的化の存在などである。
なお、この攻撃は、主にロシア国内の大規模/中規模企業に影響を与えるものだが、その感染範囲は中国/日本/マレーシア/ペルーにも拡大している。
この攻撃者は、専用アカウントの作成 (MITRE T1585.001) を実行するだけではなく、正規のポストのコメント欄を悪用し、より高度な隠蔽工作を行っていた。
この攻撃キャンペーンが明らかにしたのは、DLLハイジャックの浸透と、正規プラットフォームを用いるマルウェアのステージングの増加の実態である。それにより、ユーザー組織に突きつけられるのは、堅牢な防御体制の必要性である。
ユーザー組織として実施すべきは、インフラ監視の強化および、メールベースの脅威に対する高度なセキュリティ・ソリューションの導入である。また、サイバー・セキュリティ教育の実施と、エンドポイント検出システムの活用により、攻撃が発生した場合の早期段階での阻止を図るべきである。そのための検出指標として挙げられるのは、署名されていない “BugSplatRc64.dll” ファイルや、名前が変更された BugSplat ユーティリティなどである。
Indicators of Compromise (IOCs)
| Category | IOC |
|---|---|
| LNK | 30D11958BFD72FB63751E8F8113A9B04 |
| 92481228C18C336233D242DA5F73E2D5 | |
| Legitimate BugSplat.exe | 633F88B60C96F579AF1A71F2D59B4566 |
| DLL | 2FF63CACF26ADC536CD177017EA7A369 |
| 08FB7BD0BB1785B67166590AD7F99FD2 | |
| 02876AF791D3593F2729B1FE4F058200 | |
| F9E20EB3113901D780D2A973FF539ACE | |
| B2E24E061D0B5BE96BA76233938322E7 | |
| 15E590E8E6E9E92A18462EF5DFB94298 | |
| 66B6E4D3B6D1C30741F2167F908AB60D | |
| ADD6B9A83453DB9E8D4E82F5EE46D16C | |
| A02C80AD2BF4BFFBED9A77E9B02410FF | |
| 672222D636F5DC51F5D52A6BD800F660 | |
| 2662D1AE8CF86B0D64E73280DF8C19B3 | |
| 4948E80172A4245256F8627527D7FA96 | |
| URL | hxxps://techcommunity[.]microsoft[.]com/users/kyongread/2573674 |
| hxxps://techcommunity[.]microsoft[.]com/users/mariefast14/2631452 | |
| hxxps://raw[.]githubusercontent[.]com/fox7711/repos/main/1202[.]dat | |
| hxxps://my[.]mail[.]ru/mail/nadezhd_1/photo/123 | |
| hxxps://learn[.]microsoft[.]com/en-us/collections/ypkmtp5wxwojz2 | |
| hxxp://10[.]2[.]115[.]160/aa/shellcode_url[.]html | |
| hxxps://techcommunity[.]microsoft[.]com/t5/user/viewprofilepage/user-id/2548260 | |
| hxxps://techcommunity[.]microsoft[.]com/t5/user/viewprofilepage/user-id/2631452 | |
| hxxps://github[.]com/Mashcheeva | |
| hxxps://my[.]mail[.]ru/mail/veselina9/photo/mARRy | |
| hxxps://github[.]com/Kimoeli | |
| hxxps://www[.]quora[.]com/profile/Marieformach | |
| hxxps://moeodincovo[.]com/divide/mail/SUVVJRQO8QRC |
この攻撃キャンペーンでは、正規の SNS や GitHub などに、ペイロードの情報を隠すことで、検出を回避する巧妙な手口が使われているようです。さらに、DLL ハイジャックと、暗号化された URL や base64 文字列による、巧妙な実行ファイルの隠蔽も行われているようです。よろしければ、カテゴリ Malware と、DLL Sideloading で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.