SocGholish による RomCom ペイロードの配信を確認:偽のアップデートで騙して Mythic Agent を展開

RomCom Uses SocGholish Fake Update Attacks to Deliver Mythic Agent Malware

2025/11/26 TheHackerNews — RomCom として知られるマルウェア・ファミリーを背後で操る脅威アクターは、SocGholish と呼ばれる JavaScript ローダーを介して Mythic Agent を配信している。Arctic Wolf Labs の研究員 Jacob Faires は 11月25日 (火) のレポートで、「SocGholish による RomCom ペイロードの配信が確認されたのは、今回が初めてのことだ。その標的は、米国の土木工学関連の企業である」と述べている。

この活動は、ロシア連邦軍参謀本部 (GRU) の Unit 29155 によるものと、中〜高の確度で特定されている。Arctic Wolf によると、標的となった組織は、過去においてウクライナと密接な関係を持つ都市で活動していたという。

SocGholish (別名 FakeUpdates) は、TA569 (別名 Gold Prelude/Mustard Tempest/Purple Vallhund/UNC1543) として追跡されている金銭目的の攻撃者と関連がある。イニシャル・アクセス・ブローカーとして機能し、他の脅威アクターに対して、広範なペイロードをドロップするための状況を提供する。既知の顧客には、Evil Corp/LockBit/Dridex/Raspberry Robin などが含まれる。

その攻撃チェーンは、侵害した正規の Web サイトに Google Chrome/Mozilla Firefox の偽のブラウザ更新通知を表示し、無防備なユーザーを騙して悪意の JavaScript をダウンロードさせるところから始まる。この JavaScript によりローダーがインストールされ、さらにマルウェアが取得される。

大半の攻撃で標的とされるのは、セキュリティ対策が不十分な Web サイトであり、プラグインの既知のセキュリティ脆弱性を悪用して JavaScript コードを挿入することで、ポップアップを表示して感染チェーンを活性化する。

その一方で、RomCom (別名 Nebulous Mantis/Storm-0978/Tropical Scorpius/UNC2596/Void Rabisu) はロシア由来の脅威アクターであり、遅くとも 2022年以降において、サイバー犯罪とスパイ活動に関与してきたとされる。

この脅威アクターは、スピアフィッシングやゼロデイ・エクスプロイトなどの手法を駆使して標的ネットワークに侵入し、被害者のマシンに RAT (remote access trojan) をドロップする。このハッキング・グループの攻撃では、ウクライナの組織や NATO 関連の防衛機関が標的とされている。

Arctic Wolf が分析した攻撃では、偽の更新ペイロードを展開する脅威アクターが、リバースシェルにより C2 (command-and-control) サーバを確立し、侵害したマシン上でのコマンド実行を可能にしていた。それにより、脅威アクターが実行する操作には、偵察活動の実施に加えて、コードネーム VIPERTUNNEL と呼ばれるカスタム Python バックドアのドロップが含まれる。

なお、RomCom にリンクされた DLL ローダーも配信される。クロスプラットフォームのポスト・エクスプロイト・フレームワークとして、レッドチームが用いる Mythic Agent が、この DLL ローダーにより起動される。Mythic Agent は、対応するサーバと通信して、コマンド実行やファイル操作などをサポートするものだ。

幸いなことに、この攻撃は失敗に終わりブロックされたが、この展開が示唆するのは、ウクライナと同国を支援する組織を、RomCom の脅威アクターが標的にし続けるという状況である。

Arctic Wolf の Jacob Faires は、「偽のアップデートによる感染から、RomCom のローダー配信までの時間は 30分未満だった。ただし、この配信は、標的の Active Directory ドメインが、脅威アクターが保有する情報と一致するまで実行されていなかった。SocGholish 攻撃の広範な性質と、最初のアクセスから感染までの攻撃の進行の速さは、世界中の組織にとって大きな脅威となっている」と述べている。

この攻撃の始点は、偽アップデートを表示するために侵害された正規の Web サイトにあります。プラグインの脆弱性を悪用して侵害した Web サイトに SocGholish が紛れ込み、そこで表示する偽のブラウザ更新から悪意の JavaScript を実行させる流れになっています。その後に、RomCom のローダーや Mythic Agent が段階的に投入され、リモート操作やバックドア設置につながっていく構造だと、この記事は指摘しています。よろしければ、SocGholishRomCom での検索結果も、ご参照ください。