まとめ
2025年のサイバー脅威態勢において、中央アジアは地政学とサイバースパイが交錯する台風の目になりつつある。最近、コードネームブラッディ・ウルフキルギスやウズベキスタンなどの中央アジア諸国に対するサイバー攻撃の最新ラウンドは、高度に欺瞞的な手法に基づく脅威組織によって開始された。この組織は、高度に欺瞞的なソーシャルエンジニアリングエントリーポイントとして、Javaベースのローダー(JARローダー)を使用して、古いリモート管理ツールを配布する。ネットサポートRAT同社は、政府、金融、ITの各分野で成功を収めている。
I. サイバー攻撃の嵐の前夜:中央アジアのサイバー脅威態勢とブラッディ・ウルフの台頭
1.1 中央アジア:デジタルゲームの新たな高み
近年、デジタルトランスフォーメーションの加速に伴い、中央アジア諸国(特にカザフスタン、キルギス、ウズベキスタン)は地政学的にますます戦略的になっている。これに伴い、サイバー攻撃も急増している。攻撃者はもはや伝統的な純粋な破壊工作にとどまらず、より狡猾な長期潜伏、情報の窃取、重要インフラを標的とした潜入へとシフトしている。このような背景から、ブラッディ・ウルフという組織は、新興の活発な脅威勢力として、Group-IBのようなセキュリティ組織から大きな注目を集めている。
1.2 "ブラッディ・ウルフ "の肖像
ブラッディ・ウルフは正体不明だが、非常に活発な中央アジア人である。ハッカー組織情報によれば、この組織は少なくとも2023年後半から活動しており、初期には主にカザフスタンとロシアの事業体を標的として、STRRATやNetSupportといった商用またはオープンソースのマルウェアを常用ツールとして使用していた。
独自のゼロデイ・エクスプロイトを開発したトップAPT組織とは異なり、Bloody Wolfは「低コストで高効率」な作戦モードを実証しています。彼らは、一般に入手可能なツール(コモディティマルウェア)と、よく練られたソーシャルエンジニアリングスクリプトを組み合わせて、非常に致命的な攻撃チェーンを形成することを得意としています。正規のツールや市販のマルウェアの上にこの「寄生」戦術を行うことで、攻撃のコストを削減するだけでなく、トラフィック・シグネチャが通常のIT管理者の行動と混同されることが多いため、セキュリティ検知の難易度を高めることもできる。
II.狩りの始まり:攻撃活動のタイムラインとターゲット
2.1 事業拡大のスケジュール
Group-IBとキルギス検事総長室傘下の国営企業Ukukの共同報告書によると、今回の一連の攻撃には明確な時間的段階があった:
-
2025年6月 キルギスで初めて攻撃が検知された。攻撃者はキルギスの重要な地域に足がかりを築くため、囮を集中的に投下し始めた。
-
2025年10月 攻撃の範囲は大幅に拡大し、ウズベキスタンが新たな主な犠牲者となった。このことは、組織の能力の拡大か、背後にいる金主/責任者の戦略目標の方向転換を意味している。
2.2 ターゲット:金融、政府、IT
この攻撃の標的は非常に正確で、以下の3つの分野に絞られていた:
-
政府部門(Government): 特に、司法や外交といった機密性の高い分野ではそうである。政府の内部文書や通信記録にアクセスすることがスパイの主な目的である。
-
財務: 銀行、決済システム、ノンバンクの金融機関である。このことは、攻撃者が情報の窃取に加えて、根本的な金銭的関心を持っていること、あるいは金融セクターを不安定化させる意図を持っていることを示唆しているのかもしれない。
-
情報技術(IT): ITサービス・プロバイダーとソフトウェア会社。これは典型的な "サプライ・チェーン・アタック "のアイデアで、ITサービス・プロバイダーがコントロールされ、信頼できるルートを通じて川下の顧客に侵入するというものだ。
III.技術的解体:Javaベースの攻撃チェーンの俯瞰的分析
Bloody Wolfが組織する攻撃チェーンは、市販のツールを使用しているが、非常に洗練された方法でまとめられている。攻撃プロセス全体は、初期アクセス、実行と持続、コマンド・アンド・コントロール(C2)という3つの中核フェーズに分けることができる。
3.1 初回訪問:公式の装いをしたソーシャル・エンジニアリング
攻撃の起点は慎重に作られたスピアフィッシング(スピア・フィッシング)メール
-
身分を偽る: 攻撃者は、キルギスの法務省(MoJ)またはその他の信頼できる政府機関を装っていた。信憑性を高めるために、彼らは非常にフォーマルな外観のPDF文書をエサとして使用し、公式ドメイン名と酷似した偽ドメイン名(Typosquatting)をメールに使用していました。
-
心理的な操作: メールの内容は、「重要書類」、「裁判所からの召喚状」、「コンプライアンス通知」などを見るよう受信者に求めるなど、緊急性や権威を感じさせることが多い。
-
技術の罠: 被害者がPDFの添付ファイルを開いたり、電子メールのリンクをクリックすると、ファイルの内容が直接表示されるのではなく、Java Archive File(JAR)がダウンロードされる。
3.2 実装段階:致命的なJavaの罠
これは攻撃の最も技術的な側面であり、Java環境の人気と「ソフトウェア・アップデート」に対するユーザーの惰性を悪用したものである。
3.2.1 JARローダーメカニズム
被害者がダウンロードしたJARファイルは、実際には悪意のあるローダーである。ユーザーを騙してファイルを実行させるために、攻撃者は古典的な言葉のセットを使用する:
"この暗号化/保護されたドキュメントを正しく表示するには、Java実行環境をインストールまたは更新する必要があります。"
ソフトウェアのバージョンの問題でファイルが開けないことが常態化している企業環境では、従業員は何も考えずにプロンプトに従ってしまう傾向があるため、この欺瞞(ソーシャル・エンジニアリングの誘い)は非常に効果的である。
ユーザーがこのJARファイルをダブルクリックして実行すると(Java環境がシステムにインストールされているか、攻撃者がインストールされるように仕向けた場合)、悪意のあるJavaバイトコードがJava仮想マシン(JVM)内で実行を開始する。
3.2.2 Java 8と古い技術の再利用
技術的な分析によると、これらのJARローダーはJava 8(2014年3月リリース)で構築されている。このような古いバージョンのJavaを使用してマルウェアを構築することは偶然ではなく、以下のような理由が考えられる:
-
互換性を最大限に高める: 多くの企業、特に政府機関は、社内システムで古いJavaアプリケーションをいまだに使用しているため、Java 8はターゲット環境で広く利用可能である。
-
現代の検知を逃れる 最新のEDR(Endpoint Detection and Response)ツールの中には、最新のJavaバージョンに基づく悪意のある振る舞いシグネチャ・ライブラリに対してより敏感なものもあるが、古いコードの検出には盲点があるかもしれない。
-
テンプレート生成: 研究者は、攻撃者がカスタムJARジェネレータ(Builder)またはテンプレートを使用したと疑っている。これは、ハッシュ値を変更することで、シグネチャベースのアンチウイルスソフトウェアをバイパスする多数の亜種(ポリモーフィズム)を素早く生成できることを意味する。
3.3 コアペイロード:NetSupport RAT
JARローダーが正常に実行された後、攻撃者が管理するインフラ(C2サーバー)から次の段階の負荷を引き出します。ネットサポートRAT。
3.3.1 NetSupport Managerの武器化
NetSupport Managerは、企業のITサポートに広く使用されている、合法的で強力な商用リモート管理ツールです。しかし、その強力すぎる機能(画面監視、ファイル転送、リモートコマンド実行、キーロギングなど)により、長い間ハッキング組織に悪用され、典型的なデュアルユースソフトウェアとなっています。
3.3.2 バージョン考古学:2013年の悪夢
驚くべきことに、この攻撃で投下されたNetSupport RATのバージョンは2013年10月にさかのぼる。なぜ攻撃者は12年前のソフトウェアが好きなのだろうか?
-
安定性がある: 古いバージョンは時の試練に耐え、安定しており、新しいバージョンのような強制的なライセンス認証やクラウド・テレメトリー機能は含まれていない。
-
殺人からの解放: 最近のセキュリティプログラムの多くは、NetSupportのデジタル署名をデフォルトで信頼したり、危険性の高いマルウェアではなく「望ましくないプログラム(PUP)」として扱ったりするため、攻撃者に悪用の機会を与えてしまいます。
IV.ディープ・パーシステンスとエスケープ・テクニック
被害ホストの継続的な制御を保証し、システム再起動後もオンラインに戻すために、Bloody Wolfは複数の永続化メカニズムを導入しています。
4.1 トリプル持続戦略
技術的分析により、極めて高い生存率を確保する3つの並行的な持続手段が特定された:
-
スケジュールされたタスク: 攻撃者はWindows
シュタスクコマンドは、スケジュールされたタスクを作成します。このタスクは、特定の時刻またはシステムがアイドル状態のときに、悪意のあるスクリプトを自動的に実行するように設定される。管理者がスケジュールされたタスクのリストを毎日チェックすることはほとんどないため、このアプローチはよりステルス的です。 -
レジストリの実行キー: 古典的な永続性の手段。攻撃者は
HKCUSoftwareなどのパスを使用して、悪意のあるJARファイルやバッチファイルを指すキー値を追加します。ユーザーがWindowsにログオンするとすぐに、悪意のあるプログラムが起動します。 -
スタートアップフォルダのドロップ(スタートアップフォルダ): 最も単純で粗雑だが効果的な方法。攻撃者はバッチスクリプト(.bat)を
Microsoft Windows Start Menu Programs Startupディレクトリに保存されます。このスクリプトの役割は通常、NetSupport クライアントを静かに起動し、C2 に接続することです。
4.2 Geofencing:精密打撃のためのマーカー
ウズベキスタンに対する攻撃の段階で、研究者たちはジオフェンシングという、より洗練されたエスケープ技術を観察した。
4.2.1 技術的実現
攻撃者のサーバーはIPフィルタリングルールで設定されている。HTTP/HTTPSリクエストが悪意のあるサーバーに到着すると、サーバーはリクエストソースIPの地理的位置をチェックする:
-
ウズベキスタンの領土から: サーバーが悪意のあるJARファイルのダウンロードストリームや実行命令を返す。
-
ウズベキスタン国外から(セキュリティ研究者、サンドボックス環境、スキャナーなど): サーバーは直ちにHTTP 302リダイレクトを返し、正規のウズベキスタン電子政府ウェブサイトへリクエストをリダイレクトします。
data.egov.uz。
4.2.2 戦略的意義
この "ジオフェンシング "技術は戦術的に大きな価値がある:
-
反論だ: フィッシング・リンクに直接アクセスした世界中のセキュリティ・アナリスト(例えば、米国やヨーロッパに拠点を置く脅威インテリジェンス企業)は、合法的な政府のウェブサイトしか見ないため、リンクが安全であると誤判断してしまう。
-
精度が高い: 攻撃リソースが真のターゲットにのみ消費されるようにし、他国のユーザーに「誤って」危害が及ぶことを回避することで、国際的な法執行機関に暴露されるリスクを低減する。
V. ブラッディ・ウルフ組織から見た中央アジアにおけるサイバーセキュリティ防衛の課題
5.1 信頼の連鎖の脆弱性
ブラッディ・ウルフの攻撃の核心は、「政府の権威」に対する国民や公務員の無条件の信頼を悪用することである。機密文書」が添付された「司法省」からのメールと主張されると、被害者の警戒心はしばしばパニックや服従の感覚に押しつぶされてしまう。このように人間の本性を悪用することは、どんなファイアウォールも完全にブロックできない脆弱性である。
5.2 合法的手段の違法な悪用(土地に依存しない生活)
NetSupport RAT の使用は、"Living off the Land"(LotL)攻撃戦略の人気を再確認するものだ。攻撃者は、複雑なバックドアの作成に苦労する代わりに、正規の管理ツールを使用しています。これは防御側にとって大きな課題となります。通常の IT オペレーションを中断させることなく、いかにして正当な NetSupport トラフィックと悪意のある C2 トラフィックを区別するかということです。
5.3 Java環境における長期的なペインポイント
JARファイルは基本的に圧縮されたパッケージであり、ファイルタイプに基づく多くのゲートウェイ・フィルタを簡単に回避することができる(特に、偽装または難読化されている場合)。さらに、組織内で旧バージョンのJavaに依存しているため、Javaランタイム環境を完全に削除することは現実的ではなく、攻撃対象が永久に残ることになる。
防衛に関する提言と緩和策
ブラッディ・ウルフ組織やそのような脅威に直面している企業や政府機関は、徹底した防御を構築する必要がある。
6.1 守備の技術レベル
-
Javaの実行環境が厳しく制限されている:
-
ビジネスがJavaに依存していない場合は、完全にアンインストールすべきである。
-
どうしても使用したい場合は、アソシエーションルールを設定して
ジャーファイルを直接ダブルクリックすることで実行される。ジャーとともにジャバエグゼファイルの関連付けの代わりにテキストエディタで開くようにしたり、ポリシーによって署名されたJARだけを実行するように強制したりする)。 -
コントロール
ジャバエグゼもしかしたらjavaw.exeネットワーク接続の開始、特に常時接続でないポートやオフショアIPへの接続。
-
-
ネットワークレベルのブロッキング:
-
IOCのブロッキング 脅威情報データベースのタイムリーな更新と、Bloody Wolf組織の既知のC2ドメインおよびIPのブロック。
-
プロトコル分析: ファイアウォールや IDS で NetSupport プロトコルの機能を検知できるようにする。正当な NetSupport トラフィックは、通常、固定ポートまたはハンドシェイクシグネチャを持っているため、異常なトラフィックはブロックする必要があります。
-
地理的ブロッキング: 特定の国でのみ活動する政府組織の場合、関係のない国のIPへのアクセスを制限することも考えられるが、これはその国に対する標的型攻撃に対する防御にはならない。
-
-
エンドポイントプロテクション(EDR)の最適化:
-
レジストリのスタートアップエントリーを監視する
走るキー)と起動フォルダの書き込み操作。 -
Powershell、CMD、WScriptによって生成される異常なサブプロセス(Javaの呼び出しなど)の挙動を遮断。
-
古いバージョンのリモート管理ツール(NetSupport 2013など)にフラグを付け、隔離する。
-
6.2 プロセスと人材管理
-
セキュリティ意識向上トレーニング:
-
法務省や税務署などの当局になりすますシナリオをシミュレートした標的型フィッシング演習が定期的に実施されている。
-
従業員を教育する:決して電子メールのプロンプトを理由にソフトウェアやアップデートをインストールする場合、ソフトウェアのアップデートはIT部門を通じて一律に配布されるべきである。
-
-
最小特権の原則:
-
通常の従業員アカウントは、ソフトウェアをインストールする権限を持ってはならない。たとえ悪意のあるJARをダウンロードしたとしても、システムレベルのレジストリやインストールディレクトリを変更する権限を持っていなければ、攻撃者の攻撃力は大幅に低下します。
-
結論
中央アジアにおけるBloody Wolf組織の拡大作戦は、今日の地域APT攻撃の縮図である。彼らは一流のハッキング・スキルを必要とせず、ターゲットの心理を正確に理解し、時代遅れのテクニックを巧みに組み合わせるだけで、国家レベルの対決で防衛網を破壊することができる。
この事件は、サイバーセキュリティが単なるコードの戦いではなく、心理と認識のゲームでもあることを思い起こさせる。中央アジアや世界中の組織にとって、防御の焦点は高価なセキュリティ機器の配備だけでなく、最も弱いリンクである「人間」を修正し、「合法的なツールの不正使用」を動的に監視する能力を構築することにもある。地政学的状況が変動するなか、同様の「低コストで高収量」の攻撃は今後ますます激化するだろう。
付録:脅威インジケータ(IOC)参照
注:以下は、インテリジェンスの記述から要約した機能タイプに過ぎない。具体的なハッシュとドメイン名については、Group-IBの公式レポートを参照されたい。
-
文書の種類
ジャー,pdf(悪意のあるリンクを含む)。バット -
マルウェアファミリー NetSupport Manager (v2013)、Java ローダー
-
パーシスタンス・パス
-
MicrosoftWindows Start Menu-ProgramsStartup*.bat -
HKCUSoftware
-
-
ネットワークの特徴:
-
リダイレクト
data.egov.uz(非対象IPの場合) -
C2通信はNetSupportプライベートプロトコルを使用します。
-
元記事はChief Security Officerによるもので、転載の際はhttps://www.cncso.com/jp/bloody-wolf-expands-java-based-deliver-netsupport-rat.html。
