GrayAlphaが、多様な感染ベクトルを使用してPowerNet LoaderとNetSupport RATを展開

Executive Summary

Insikt Groupは、GrayAlphaに関連する新たなインフラを特定しました。GrayAlphaは、金銭目的で活動する脅威グループとして知られるFIN7と重複があるとされるアクターです。今回特定された新たなインフラには、ペイロード配布に使用されるドメインや、GrayAlphaと関連していると考えられる追加のIPアドレスが含まれています。Insikt Groupは、PowerNetと呼ばれるカスタムPowerShellローダーを発見しました。このローダーは、NetSupport RATを解凍して実行します。また、Insikt GroupはMaskBatと呼ばれる別のカスタムローダーも特定しており、これはFakeBatに類似していますが、難読化されており、GrayAlphaと関連する文字列を含んでいます。全体として、Insikt Groupは3つの主要な感染手法を確認しました：偽のブラウザ更新ページ、偽の7-Zipダウンロードサイト、そしてトラフィック分配システム（TDS）であるTAG-124です。特にTAG-124の使用は、本レポートが公開されるまで公に文書化されていませんでした。これら3つの感染経路はいずれも同時に使用されていることが観察されましたが、執筆時点で活動が確認されていたのは偽の7-Zipダウンロードページのみであり、2025年4月にも新たに登録されたドメインが確認されています。これらのサイトのさらなる分析により、GrayAlphaの作戦に関与している可能性のある個人が特定されました。

短期的には、防御側はアプリケーションの許可リストを適用し、マルウェアを含む見かけ上は正規のファイルのダウンロードをブロックすることが推奨されます。許可リストの運用が現実的でない場合は、従業員に対する包括的なセキュリティトレーニングが不可欠となります。特に、予期しないブラウザの更新要求や、マルバタイジングによるリダイレクトといった不審な挙動を見分けられるようにすることが重要です。さらに、本レポートで提供されているYARAルールやMalware Intelligence Huntingクエリなどの検知ルールを活用することで、現在および過去の感染を特定することが可能になります。マルウェアは常に進化しているため、これらのルールは頻繁に更新し、ネットワークアーティファクトの監視やRecorded Future Network Intelligenceの活用など、より広範な検知手法と組み合わせて運用することが重要です。

今後に向けて、防御側はより効果的に新たな脅威を予測・対応するために、サイバー犯罪全体のエコシステムを継続的に監視する必要があります。サイバー犯罪の高度な組織化が進む中、さまざまな業種の組織が標的とされる可能性は一層高まっています。この傾向の背景には、サイバー犯罪の持続的な収益性、国際的な法執行機関間の連携の乏しさ、そしてセキュリティ技術の進化が脅威アクターのイノベーションを促進していることがあります。高度持続的脅威（APT）の活動はしばしば国家支援の関与が指摘されますが、GrayAlphaの事例は、サイバー犯罪グループも同様の持続性を示しうることを示しています。Ransomware-as-a-Service（RaaS）モデルと同様に、サイバー犯罪者はますます専門化・協業化しており、防御側にとっては、包括的かつ適応的なセキュリティ体制の確立が不可欠となっています。

主な調査結果

• Insikt Groupは、GrayAlphaに関連する新たなインフラを特定しました。GrayAlphaは、一般にFIN7として知られるグループと重複する脅威アクターです。今回特定されたインフラには、ペイロードの配布に使用されるドメインや、脅威アクターのインフラの一部と考えられる追加のIPアドレスが含まれます。
• Insikt Groupは、PowerNetと名付けられた新たなカスタムPowerShellローダーを確認しており、これはNetSupport RATを解凍して実行します。
• Insikt Groupは、MaskBatと呼ばれる別のカスタムローダーを特定しました。これはFakeBatと類似していますが、難読化されており、GrayAlphaに関連する文字列が含まれています。
• Insikt Groupは、GrayAlphaに関連する3つの主要な感染経路を特定しました。それは、偽のブラウザ更新ページ、偽の7-Zipダウンロードサイト、そしてTDS TAG-124ネットワークです。特に注目すべき点として、TDS TAG-124という配信メカニズムの使用は、本レポートが公開されるまで公に文書化されていませんでした。
• 3つの感染手法はいずれも同時に使用されていましたが、執筆時点で活動が確認されていたのは偽の7-Zipダウンロードページのみであり、最新のドメインは2025年4月にも確認されています。
• Insikt Groupは、これらの7-Zipページを分析する中で、GrayAlphaの作戦に関与している可能性のある個人を特定しました。

背景

GrayAlphaは、金銭目的のサイバー犯罪グループとして知られるFIN7と重複する脅威アクターのクラスターであり、インフラ、ツール、手口において多くの共通点を持っています。

FIN7 は少なくとも 2013 年から活動しており、世界中の組織を標的とする最も多作で技術的に洗練されたサイバー犯罪グループの 1 つと考えられています。このグループはプロのビジネスのように組織されており、マルウェアの開発、フィッシング操作、マネーロンダリング、および管理を処理する区画化されたチームで構成されています。FIN7 は主に、特に小売、接客業、金融セクターにおいて、支払いカード データの盗難や企業ネットワークへの不正アクセスを含む金銭的動機による キャンペーン で知られています。

2018年、米国司法省(US DOJ)は、FIN7の3人の高位メンバー(ドミトロ・フェドロフ、フェディル・フラディル、アンドリー・コルパコフ)に対する起訴状を 公開 し、米国47州と複数の国にまたがる企業に対する同グループの広範な活動を浮き彫りにした。偽のサイバーセキュリティ会社「Combi Security」の名で運営されているFIN7は、ソーシャルエンジニアリングとカスタマイズされたマルウェア(グループが自社開発したバックドアであるCarbanakの亜種を含む)を利用して、数千のPOSシステムを侵害し、1,500万件以上の支払いカード記録を盗み出しました。 米国司法省の検察は、侵入作戦、マルウェア管理、物流調整において定義された役割を果たすメンバーという、このグループの階層的な指揮構造を明らかにした。リーダーシップの混乱にもかかわらず、FIN7 の基盤となるインフラストラクチャと取引手段は存続し、より広範な犯罪組織がグローバル組織を標的に し続ける ことを可能にしました。

FIN7 は、さまざまなカスタムおよび再利用されたマルウェアとツールを使用して、その運用をサポートします。このグループは通常、悪意のある添付ファイルやリンクを含むスピアフィッシングメールを通じて初期アクセスを取得します 侵害、ハッキング サイト、多くの場合、信頼性を高めるためにコールバックフィッシングと組み合わせます。 FIN7の初期の運用では、当時独自のCarbanakバックドアを主要なコマンド&コントロールフレームワークとして活用し、グループが侵害、ハッキングホストを管理し、事後侵害、ハッキング活動を調整できるようにしました。 PowerSploitフレームワークを適応させた独自の難読化されたPowerShellベースのインメモリローダーであるPOWERTRASHは、FIN7侵入の一貫した機能でもあり、DiceLoaderやクラックされたCore Impactインプラントなどのペイロードをデプロイして、エクスプロイト、ラテラルムーブメント、永続性をサポートするために使用されます。FIN7はまた、エンドポイントセキュリティソリューションを無効にするように設計されたカスタムEDR回避ユーティリティであるAuKill(AvNeutralizerとしても知られる)を開発し、後にグループが犯罪市場で販売したと 報告 されました。最近のキャンペーンでは、FIN7 が Python ベースの Anubis バックドアを展開していることが観察されており、これはメモリ内実行を介して完全なシステム制御を提供し、Base64 でエンコードされたデータを使用してコマンド アンド コントロール インフラストラクチャと通信します。

2023 年、FIN7 は、REvil や Maze などの RaaS グループとの提携を通じてランサムウェアの展開を含むように事業を 拡大 すると同時に、現在は廃止された Darkside や BlackMatter などの独自の RaaS プログラムも管理しました。最近では、FIN7 が悪意のある MSIX アプリケーション パッケージに埋め込まれた NetSupport RAT を利用し、偽の更新サイトやマルバタイジングを介して配信されていることが観察されています。

脅威分析

感染ベクトル

過去1年間にわたり、Insikt GroupはGrayAlphaに関連する3つの明確な感染ベクトルを特定しました。これらは同時期に観測されており、最終的にはすべてNetSupport RATへのこれらの感染ベクトルには以下が含まれます。感染につながっています。これらのベクトルには次のものが含まれます。

• 感染ベクトル1： Concurなどの正規製品になりすました偽のソフトウェア更新
• 感染ベクトル2：悪意ある7-Zipダウンロードページ
• 感染ベクトル3：TAG-124 TDSの利用

これらのキャンペーンにおいて、GrayAlphaは主に2種類のPowerShellローダーを使用していました。1つはPowerNetと呼ばれる自己完結型のカスタムスクリプト、もう1つはMaskBatと呼ばれる動的ローダーで、FakeBatをカスタマイズしたバリアントです（図1参照）。

図 1: 3つの異なる感染ベクターを使用するGrayAlphaは、すべてNetSupport RAT感染につながります(情報源: Recorded Future)

感染ベクトル1：偽のブラウザ更新

インフラストラクチャ分析

少なくとも2024年4月以降、GrayAlphaは偽のブラウザ更新サイトをその作戦の一部として活用していることが確認されています。これらのサイトは、Google Meet、LexisNexis、Asana、AIMP、SAP Concur、CNN、Wall Street Journal、Advanced IP Scannerなど、さまざまな正規の製品やサービスを装っています。表1には、感染ベクトル1に関連し、2025年時点でも名前解決が行われていたドメインの一覧が示されています。ただし、名前解決されていることが必ずしも脅威アクターによる継続的な利用を意味するわけではない点には注意が必要です。実際、最後に観測されたドメインが名前解決を開始したのは2024年9月でした。2025年に一度も名前解決されなかったものも含め、感染ベクトル1に関連するすべてのドメインの包括的なリストは、付録Aに掲載されています。

表1: 2025年現在も解決中の感染ベクター1に関連するドメイン(情報源: Recorded Future)

偽のアップデート Web サイトは、多くの場合、関数 getIPAddress() と trackPageOpen() で構成される、ホスト システムをフィンガープリントするように設計されたのと同じスクリプトを使用します。以前に報告したように、これらのスクリプトは通常、 cdn40[.]クリック( 図 2 を参照)。これらのドメインは通常、「cdn」で始まり、その後に乱数とトップレベル ドメイン (TLD) が続きます。悪意のあるペイロードは通常、/download.phpエンドポイントを介して配信されます。ただし、Insikt Group は、/download/download.php などのバリエーションも特定しています。download2.php、製品固有のパス (/download/aimp_5.30.2541_w64-release.exe など)。さらに、少なくとも1つのケースでは、脅威アクターは侵害、 ハッキングドメイン — worshipjapan[.]com— フィンガープリンティングの目的で。このアクティビティは、 ドメインas4na[.]comです。

図 2: meet-go[.]クリック(情報源: URLScan (URLScan)

特に注目すべき点として、感染ベクトル1に関連付けられたドメインの多くは正規のソフトウェア製品になりすまして作成されている一方で、中にはランダムに生成されたものや任意のものと思われるドメインも存在します。例として、kasalboov@web[.]deというメールアドレスに関連付けられたteststeststests003202[.]shopteststeststestがあります（WHOISレコードによると）。この同じメールは、lexisnexis[.]pro、aimp[.]xyz、concur[.]life、cdn3535[.]shop、およびcdn251[.]lolなどのドメインにもリンクされています。その他の異常として、gogogononono[.]topやgogogononono[.]xyzのようなドメインがあり、これらはいずれも103[.]35[.]190[.]40というIPアドレス上にホスティングされており、このIPアドレスにはlexisnexis[.]latもホストされています。

FIN7による偽のAdvanced IP Scannerを使用した過去の活動

このレポートで説明したように、GrayAlphaにリンクされた最初のAdvanced IP Scannerをテーマにしたドメインは2024年初頭に解決され始めましたが( 図3を参照)、 Insikt Group はすでにFIN7が偽のAdvanced IP Scannerドメインを利用して被害者を侵害、ハッキングしていることをすでに観察していました。 具体的には、2023年9月末の短い期間に、Insikt GroupはFIN7制御のCarbanak C2サーバー166[.]1[.]160[.]118名TCP ポート 443 経由。この活動は当初、1 日の脆弱性チェーンの悪用に起因していましたが、その後 の分析により 、感染は代わりにタイポスクワッティングされたドメイン advanced-ip-sccanner[.]com— 当時はCloudflareの背後でホストされていました。

図 3: advancedipscannerapp[.]com(情報源: URLScan (URLScan)

ホスティング分析

感染ベクトル1に関連付けられたドメインの大多数は、ブレットプルーフホスティング業者であるStark Industries Solutions（AS44477）によって運用されているインフラに解決されており、追加でAS29802（HIVELOCITY, Inc.）およびAS41745（FORTIS-AS）上でのホスティングも確認されています（図4を参照）。特に、AS29802内のインフラは、ブレットプルーフホスティング業者である3NT Solutions LLPによって管理され、HIVELOCITY経由でアナウンスされていたIP空間で構成されていました。感染ベクトル2のホスティングインフラは主にAS41745に集中しており、その詳細については本レポートの「感染ベクトル2：7-Zipなりすまし」のセクションで説明しています。

図4：感染ベクトル1に関連して観測されたASNの内訳（出典：Recorded Future）

FORTIS-AS（AS41745）は、管轄組織である「Baykov Ilya Sergeevich」（ORG-HIP1-RIPE）として言及されることが多く、FIN7に関連する活動で繰り返し利用されています。Stark Industries Solutionsに関連付けられたインフラに加えて、FORTIS-ASは、FIN7の作戦と直接関連するマルウェアファミリーであるPOWERTRASHおよびDiceLoaderの配布に使用されたインフラをホストしてきました。

GrayAlphaが使用しているネットブロック85[.]209[.]134[.]0/24のWHOISレコードによると、このブロックはBaykov Ilya Sergeevich（ORG-HIP1-RIPE）に割り当てられています。このエンティティはインフラサービスプロバイダー（ISP）である「hip-hosting」と密接に関係しており、fortis[.]hostやhip-hosting[.]comといったドメインを含む複数の連絡先や技術的な記載がWHOISレコード全体にわたって確認されています（図5を参照）。

図 5: Baykov Ilya Sergeevich (情報源: Recorded Future) にリンクされた連絡先の詳細

Insikt Groupは、「hip-hosting」がエンティティ「Baykov Ilya Sergeevich」(ORG-HIP1-RIPE)の背後にあるISPであると高い確信度で評価しています。この評価は、WHOIS レコードと ORG-HIP1-RIPE の RIPE ORG オブジェクト 内の複数の裏付けとなるデータポイントによってサポートされています。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。