GrayAlphaが、多様な感染ベクトルを使用してPowerNet LoaderとNetSupport RATを展開

GrayAlphaが、多様な感染ベクトルを使用してPowerNet LoaderとNetSupport RATを展開

Insikt Groupロゴ

Executive Summary

Insikt Groupは、GrayAlphaに関連する新たなインフラを特定しました。GrayAlphaは、金銭目的で活動する脅威グループとして知られるFIN7と重複があるとされるアクターです。今回特定された新たなインフラには、ペイロード配布に使用されるドメインや、GrayAlphaと関連していると考えられる追加のIPアドレスが含まれています。Insikt Groupは、PowerNetと呼ばれるカスタムPowerShellローダーを発見しました。このローダーは、NetSupport RATを解凍して実行します。また、Insikt GroupはMaskBatと呼ばれる別のカスタムローダーも特定しており、これはFakeBatに類似していますが、難読化されており、GrayAlphaと関連する文字列を含んでいます。全体として、Insikt Groupは3つの主要な感染手法を確認しました:偽のブラウザ更新ページ、偽の7-Zipダウンロードサイト、そしてトラフィック分配システム(TDS)であるTAG-124です。特にTAG-124の使用は、本レポートが公開されるまで公に文書化されていませんでした。これら3つの感染経路はいずれも同時に使用されていることが観察されましたが、執筆時点で活動が確認されていたのは偽の7-Zipダウンロードページのみであり、2025年4月にも新たに登録されたドメインが確認されています。これらのサイトのさらなる分析により、GrayAlphaの作戦に関与している可能性のある個人が特定されました。

短期的には、防御側はアプリケーションの許可リストを適用し、マルウェアを含む見かけ上は正規のファイルのダウンロードをブロックすることが推奨されます。許可リストの運用が現実的でない場合は、従業員に対する包括的なセキュリティトレーニングが不可欠となります。特に、予期しないブラウザの更新要求や、マルバタイジングによるリダイレクトといった不審な挙動を見分けられるようにすることが重要です。さらに、本レポートで提供されているYARAルールやMalware Intelligence Huntingクエリなどの検知ルールを活用することで、現在および過去の感染を特定することが可能になります。マルウェアは常に進化しているため、これらのルールは頻繁に更新し、ネットワークアーティファクトの監視やRecorded Future Network Intelligenceの活用など、より広範な検知手法と組み合わせて運用することが重要です。

今後に向けて、防御側はより効果的に新たな脅威を予測・対応するために、サイバー犯罪全体のエコシステムを継続的に監視する必要があります。サイバー犯罪の高度な組織化が進む中、さまざまな業種の組織が標的とされる可能性は一層高まっています。この傾向の背景には、サイバー犯罪の持続的な収益性、国際的な法執行機関間の連携の乏しさ、そしてセキュリティ技術の進化が脅威アクターのイノベーションを促進していることがあります。高度持続的脅威(APT)の活動はしばしば国家支援の関与が指摘されますが、GrayAlphaの事例は、サイバー犯罪グループも同様の持続性を示しうることを示しています。Ransomware-as-a-Service(RaaS)モデルと同様に、サイバー犯罪者はますます専門化・協業化しており、防御側にとっては、包括的かつ適応的なセキュリティ体制の確立が不可欠となっています。

主な調査結果

背景

GrayAlphaは、金銭目的のサイバー犯罪グループとして知られるFIN7と重複する脅威アクターのクラスターであり、インフラ、ツール、手口において多くの共通点を持っています。

FIN7は少なくとも2013年から活動しており、世界中の組織を標的とする、最も活発で技術的に高度なサイバー犯罪グループの1つと見なされています。このグループは、マルウェアの開発、フィッシング活動、資金洗浄、運営管理などを担当するチームに分かれた、プロフェッショナルなビジネス組織のように構成されています。FIN7は、主に支払いカード情報の窃取や、企業ネットワークへの不正アクセスを含む金銭目的のキャンペーンで知られており、とくに小売、ホスピタリティ、金融業界が標的となっています。

2018年には、米国司法省(US DOJ)がFIN7の幹部3名、ドミトロ・フェドロフ、フェディル・フラディル、アンドリイ・コルパコフに対する起訴状を公開し、FIN7が米国47州および複数の国にわたる企業を標的として広範な作戦を展開していたことを明らかにしました。「Combi Security」という偽のサイバーセキュリティ企業を名乗りながら、FIN7はソーシャルエンジニアリングとカスタマイズされたマルウェア(同グループが独自に開発したバックドア「Carbanak」の亜種など)を活用し、数千のPOSシステムに侵入し、1,500万件以上の支払いカードレコードを流出させました。米司法省の起訴では、グループが階層的な指揮系統を持ち、侵入作戦、マルウェアの管理、物流面での調整といった明確な役割分担のもとで活動していたことが明らかになりました。リーダー層が摘発されたにもかかわらず、FIN7の基盤となるインフラと手法は存続しており、犯罪組織全体としては今なお世界中の組織を標的とし続けています

FIN7は、その活動を支えるために、独自開発および既存マルウェアの改造を含むさまざまなマルウェアやツールを使用しています。このグループは通常、スピアフィッシングメールを通じて初期アクセスを得ます。これには、マルウェア付きの添付ファイルや、侵害されたサイトにホストされたリンクが含まれており、信頼性を高めるためにコールバック型のフィッシングと組み合わせて用いられることもあります。初期の活動においては、FIN7は独自開発していたCarbanakバックドアを主なコマンド&コントロールフレームワークとして活用し、侵害されたホストの管理や侵害後の活動の調整を行っていました。また、PowerSploitフレームワークをベースにした、特異な難読化が施されたPowerShellベースのインメモリ・ローダーである「POWERTRASH」も、FIN7の侵入活動において一貫して使用されています。これは、DiceLoaderやクラックされたCore Impactインプラントといったペイロードを展開し、脆弱性の悪用、横展開、永続化を支援します。さらに、FIN7は「AuKill」(別名:AvNeutralizer)という、エンドポイントのセキュリティ対策を無効化するための独自のEDR回避ツールも開発しており、後にこのツールが犯罪マーケットで販売されていたと報告されています。直近のキャンペーンでは、FIN7がPythonベースのバックドアAnubisを展開していることが確認されており、このマルウェアはインメモリ実行によってシステムを完全に制御し、Base64でエンコードされたデータを使ってC2インフラと通信します。

2023年、FIN7は、REvilやMazeといったRaaSグループとの提携を通じてランサムウェアの展開を含む活動へと拡大しました。また、現在は活動を終了しているDarksideやBlackMatterなど、自ら管理するRaaSプログラムも運用していました。最近では、FIN7が、悪意あるMSIXアプリケーションパッケージに埋め込まれたNetSupport RATを活用し、偽の更新サイトやマルバタイジングを通じて配信している様子も確認されています。

脅威分析

感染ベクトル

過去1年間にわたり、Insikt GroupはGrayAlphaに関連する3つの明確な感染ベクトルを特定しました。これらは同時期に観測されており、最終的にはすべてNetSupport RATへのこれらの感染ベクトルには以下が含まれます。感染につながっています。これらのベクトルには次のものが含まれます。

これらのキャンペーンにおいて、GrayAlphaは主に2種類のPowerShellローダーを使用していました。1つはPowerNetと呼ばれる自己完結型のカスタムスクリプト、もう1つはMaskBatと呼ばれる動的ローダーで、FakeBatをカスタマイズしたバリアントです(図1参照)

grayalpha-001.png
図 1: GrayAlpha using three different infection vectors, all leading to NetSupport RAT infections (Source: Recorded Future)

感染ベクトル1:偽のブラウザ更新

インフラストラクチャ分析

少なくとも2024年4月以降、GrayAlphaは偽のブラウザ更新サイトをその作戦の一部として活用していることが確認されています。これらのサイトは、Google Meet、LexisNexis、Asana、AIMP、SAP Concur、CNN、Wall Street Journal、Advanced IP Scannerなど、さまざまな正規の製品やサービスを装っています。表1には、感染ベクトル1に関連し、2025年時点でも名前解決が行われていたドメインの一覧が示されています。ただし、名前解決されていることが必ずしも脅威アクターによる継続的な利用を意味するわけではない点には注意が必要です。実際、最後に観測されたドメインが名前解決を開始したのは2024年9月でした。2025年に一度も名前解決されなかったものも含め、感染ベクトル1に関連するすべてのドメインの包括的なリストは、付録Aに掲載されています。

ドメイン
IPアドレス
ASN (英語)
最初の発見日
最終表示
2024-aimp[.]info
86[.]104[.]72[.]23
AS44477
2024-07-04
2025-05-04
advanced-ip-scanner[.]link
138[.]124[.]183[.]79
AS44477
2024-04-29
2025-04-30
aimp[.]day
138[.]124[.]183[.]176
AS44477
2024-04-10
2025-04-11
aimp[.]pm
138[.]124[.]183[.]176
AS44477
2024-04-22
2025-04-23
aimp[.]xyz
38[.]180[.]142[.]198
AS29802
2024-05-08
2025-05-02
concur[.]life
103[.]35[.]191[.]222
AS44477
2024-05-07
2025-05-04
law2024[.]info
91[.]228[.]10[.]81
AS44477
2024-06-12
2025-05-04
law2024[.]top
91[.]228[.]10[.]81
AS44477
2024-06-13
2025-05-05
lexis2024[.]info
103[.]35[.]191[.]137
AS44477
2024-06-10
2025-05-05
lexis2024[.]pro
103[.]35[.]191[.]137
AS44477
2024-06-11
2025-05-03
lexisnex[.]pro
103[.]35[.]191[.]137
AS44477
2024-06-12
2025-05-04
lexisnex[.]team
103[.]35[.]191[.]137
AS44477
2024-06-11
2025-05-05
lexisnex[.]top
103[.]35[.]191[.]137
AS44477
2024-06-11
2025-05-03
lexisnexis[.]day
89[.]105[.]198[.]190
AS204601
2024-05-01
2025-05-01
lexisnexis[.]lat
103[.]35[.]190[.]40
AS44477
2024-06-14
2025-03-30
lexisnexis[.]one
103[.]35[.]191[.]137
AS44477
2024-06-05
2025-05-04
lexisnexis[.]pro
103[.]35[.]191[.]137
AS44477
2024-05-07
2025-05-05
lexisnexis[.]top
103[.]35[.]191[.]137
AS44477
2024-06-07
2025-05-04
meet-go[.]info
103[.]113[.]70[.]158
AS44477
2024-05-07
2025-05-02
meet[.]com[.]de
45[.]89[.]53[.]243
AS44477
2024-05-23
2025-02-16
sapconcur[.]top
86[.]104[.]72[.]208
AS44477
2024-06-13
2025-05-04
thomsonreuter[.]info
86[.]104[.]72[.]16
AS44477
2024-06-15
2025-05-04
thomsonreuter[.]pro
86[.]104[.]72[.]16
AS44477
2024-06-15
2025-05-05
wsj[.]pm
103[.]113[.]70[.]37
AS44477
2024-04-19
2025-04-19

表1: Domains linked to Infection Vector 1 still resolving as of 2025 (Source: Recorded Future)

Fake update websites often use the same script designed to fingerprint the host system, consisting of the functions getIPAddress() and trackPageOpen(). As previously reported, these scripts usually send a POST request to a CDN-themed domain, such as cdn40[.]click (see Figure 2). These domains typically begin with "cdn" followed by a random number and a top-level domain (TLD). The malicious payload is commonly delivered via the /download.php endpoint. However, Insikt Group has also identified variations, including /download/download.php, download2.php, and product-specific paths (such as /download/aimp_5.30.2541_w64-release.exe). Additionally, in at least one case, the threat actors appeared to use a compromised domain — worshipjapan[.]com — for fingerprinting purposes. This activity was observed on a website associated with the domain as4na[.]com.

grayalpha-002.png
図 2: Typical JavaScript functions found on fake update pages such as meet-go[.]click (Source: URLScan)

特に注目すべき点として、感染ベクトル1に関連付けられたドメインの多くは正規のソフトウェア製品になりすまして作成されている一方で、中にはランダムに生成されたものや任意のものと思われるドメインも存在します。例として、kasalboov@web[.]deというメールアドレスに関連付けられたteststeststests003202[.]shopteststeststestがあります(WHOISレコードによると)。この同じメールは、lexisnexis[.]proaimp[.]xyzconcur[.]lifecdn3535[.]shop、およびcdn251[.]lolなどのドメインにもリンクされています。その他の異常として、gogogononono[.]topgogogononono[.]xyzのようなドメインがあり、これらはいずれも103[.]35[.]190[.]40というIPアドレス上にホスティングされており、このIPアドレスにはlexisnexis[.]latもホストされています。

FIN7による偽のAdvanced IP Scannerを使用した過去の活動

本レポートで述べているように、GrayAlphaに関連付けられた最初のAdvanced IP Scannerをテーマにしたドメインは2024年初頭に解決を開始しました(図3を参照)。しかし、Insikt Groupはすでに2023年後半には、FIN7が偽のAdvanced IP Scannerドメインを利用して被害者を侵害していたことを確認していました。具体的には、2023年9月末の短期間において、FIN7が管理するCarbanak C2サーバー(166[.]1[.]160[.]118)と通信している212以上の感染システムをInsikt Groupが特定しました(TCPポート443経由)。当初、この活動はone-day脆弱性チェーンの悪用によるものとされていましたが、その後の分析により、タイポスクワットされたドメインadvanced-ip-sccanner[.]comに関連していたことが判明しました— 実際にはCloudflare配下でホスティングされていた。

grayalpha-003.png
図 3: Fake Advanced IP Scanner download page on advancedipscannerapp[.]com (Source: URLScan)

ホスティング分析

感染ベクトル1に関連付けられたドメインの大多数は、ブレットプルーフホスティング業者であるStark Industries Solutions(AS44477)によって運用されているインフラに解決されており、追加でAS29802(HIVELOCITY, Inc.)およびAS41745(FORTIS-AS)上でのホスティングも確認されています(図4を参照)。特に、AS29802内のインフラは、ブレットプルーフホスティング業者である3NT Solutions LLPによって管理され、HIVELOCITY経由でアナウンスされていたIP空間で構成されていました。感染ベクトル2のホスティングインフラは主にAS41745に集中しており、その詳細については本レポートの「感染ベクトル2:7-Zipなりすまし」のセクションで説明しています。

grayalpha-004.png
図4:感染ベクトル1に関連して観測されたASNの内訳(出典:Recorded Future)

FORTIS-AS(AS41745)は、管轄組織である「Baykov Ilya Sergeevich」(ORG-HIP1-RIPE)として言及されることが多く、FIN7に関連する活動で繰り返し利用されています。Stark Industries Solutionsに関連付けられたインフラに加えて、FORTIS-ASは、FIN7の作戦と直接関連するマルウェアファミリーであるPOWERTRASHおよびDiceLoaderの配布に使用されたインフラをホストしてきました。

GrayAlphaが使用しているネットブロック85[.]209[.]134[.]0/24のWHOISレコードによると、このブロックはBaykov Ilya Sergeevich(ORG-HIP1-RIPE)に割り当てられています。このエンティティはインフラサービスプロバイダー(ISP)である「hip-hosting」と密接に関係しており、fortis[.]hosthip-hosting[.]comといったドメインを含む複数の連絡先や技術的な記載がWHOISレコード全体にわたって確認されています(図5を参照)。

grayalpha-005.png
図 5: Contact details linked to Baykov Ilya Sergeevich (Source: Recorded Future)

Insikt Group は、「hip-hosting」が組織「Baykov Ilya Sergeevich」(ORG-HIP1-RIPE)の背後にあるISPであると高い確信をもって評価しています。この評価は、ORG-HIP1-RIPEに関するWHOISレコードおよびRIPE ORGのオブジェクトにおける複数の裏付けとなるデータによって支持されています。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。