TerraStealerV2とTerraLogger:Golden Chickensの新しいマルウェアファミリーを発見

TerraStealerV2とTerraLogger:Golden Chickensの新しいマルウェアファミリーを発見

Insikt Groupロゴ

Executive Summary

Insikt Groupは、金銭目的の脅威アクターであるGolden Chickens(別名Venom Spider)に関連する2つの新しいマルウェアファミリー、TerraStealerV2とTerraLoggerを特定しました。Golden Chickensは、FIN 6、Cobalt Group、Evilnumなどのサイバー犯罪グループが使用するMalware-as-a-Service(MaaS)プラットフォームを運営することで知られています。2025年1月~4月に観測された新しいファミリーは、認証情報の窃盗とキーロギングを目的とした開発が進行中であることを示唆しています。

TerraStealerV2は、ブラウザの認証情報、暗号通貨ウォレットデータ、ブラウザ拡張機能の情報を収集するように設計されています。このマルウェアは、認証情報を盗むためにChromeの「ログインデータ」データベースを標的としていますが、2024年7月以降のChromeのアップデートで導入されたアプリケーション境界暗号化(ABE)保護を回避できないため、マルウェアのコードが古くなっているか、まだ開発中であることを示しています。データはTelegramとドメインwetransfers[.]ioの両方に流出しています。この情報窃取型マルウェアは、LNK、MSI、DLL、EXEファイルなど、複数の形式で配布されていることが確認されており、検知を回避するためにregsvr32.exeやmshta.exeなどの信頼できるWindowsユーティリティを活用しています。

対照的に、TerraLoggerはスタンドアロンのキーロガーです。一般的な低レベルのキーボードフックを使用してキーストロークを記録し、ログをローカルファイルに書き込みます。しかし、データ抽出やコマンド・アンド・コントロール(C2)通信の機能は含まれていません。これは、開発の初期段階にあるか、Golden Chickens MaaSエコシステムのモジュール式の一部として意図されていることを示しています。

TerraStealerV2とTerraLoggerの現状からは、両方のツールが依然として活発に開発されており、成熟したGolden Chickensツールに通常見られるステルス性のレベルをまだ示していないことを示唆しています。Golden Chickensはこれまで認証情報の窃取やアクセス操作を目的としたマルウェアを開発してきた歴史があるため、これらの機能は今後も進化し続けるでしょう。組織は、これらのマルウェアファミリーが成熟するにつれて侵害のリスクを軽減するために、このレポートで提供される緩和ガイダンスに従うことをお勧めします。

主な調査結果

背景

Golden Chickens は、Venom Spider という別名でも追跡されており、MaaS モデルの下でステルス化されたモジュール式マルウェア スイートを運用することで知られる、金銭的な動機を持つサイバー脅威アクターです。少なくとも2018 年以来 、Golden Chickens MaaSスイートは、ソーシャルエンジニアリングベクトルを通じて価値の高い組織を標的とするキャンペーン、特に偽の求人や履歴書を利用したスピアフィッシングキャンペーンに導入されています。特に、このマルウェアは、ロシアに本拠を置くFIN6やCobalt Group、ベラルーシに本拠を置くEvilnumなどのトップレベルのサイバー犯罪グループによって使用されており、世界中で15億米ドル以上の 損害が発生しています

Golden ChickensのMaaSスイートのコアコンポーネントは、VenomLNKとTerraLoaderです。初期感染は通常、悪意のあるWindowsショートカットファイルであるVenomLNKを介して行われ、これにより、追加のGolden Chickensマルウェアのデプロイを担当するローダーモジュールであるTerraLoaderが実行されます。これらのモジュールには、認証情報収集用のTerraStealer、TeamViewerハイジャック用のTerraTV、ランサムウェア展開用のTerraCryptが含まれます。Golden Chickensエコシステムに起因する追加のマルウェアファミリーには、偵察用のTerraRecon、データ消去用のTerraWiper、lite_more_eggsが含まれています。これらは下の図1に示されています。

TerraStealerV2-001.png
図 1: 以前に報告された Golden Chickens マルウェア ファミリ (情報源: クオインテリジェンス)

eSentire の脅威対応ユニットによる帰属調査の 取り組みにより、 Golden Chickens は、モルドバとカナダのモントリオール出身の個人が共同で運営していると考えられているペルソナである badbullzvenom として知られる脅威アクターに関連付けられています。脅威アクターの開発履歴は、低レベルのフォーラム参加者から確立されたMaaSプロバイダーへの進歩を示しています。ゴールデンチキンズが開発したツールは、ブリティッシュ・エアウェイズ(British Airways)、ニューエッグ(Newegg)、チケットマスターUKに対する注目を集めた攻撃など、いくつかのキャンペーンで 武器化 されている。

2024 年 8 月から 10 月にかけて、Zscaler ThreatLabz は、新たに特定された 2 つのマルウェア ファミリ、RevC2 と Venom Loader の展開を含む、Golden Chickens に起因する新たな活動を 観測 しました。これらのツールは、暗号通貨の支払いリクエストやソフトウェア API ドキュメントなどのソーシャル エンジニアリングのルアーを活用して、VenomLNK キャンペーンを通じて配信されました。 図2 は、RevC2の配信に使用される攻撃チェーンを示しています。

TerraStealerV2-002.png
図 2: 最近のゴールデンチキンの攻撃チェーンは、RevC2(情報源: Zスカラー)

最初の配信ベクターは不明ですが、感染シーケンスは VenomLNK ファイルの実行から始まります。このファイルは、ルアーテーマ(この場合はソフトウェアAPIドキュメント)と一致するおとり画像をダウンロードし、RevC2の実行を開始します。具体的には、LNK ファイルは wmic.exe を利用して regsvr32.exe を呼び出します。リモートネットワーク共有でホストされている悪意のあるOCXペイロードをロードします。

技術的分析

Insikt Groupは、脅威アクターグループGolden Chickensに起因する2つの新しいマルウェアファミリーを特定しました。1つ目は、TerraStealerV2として追跡されており、主にブラウザの認証情報、暗号通貨ウォレット、ブラウザ拡張機能をターゲットとする情報窃取型マルウェアです。2つ目は、TerraLoggerとして追跡され、スタンドアロンモジュールとして観察されるキーロガーです。次のサブセクションでは、各マルウェアファミリーの詳細な技術分析を提供します。

TerraStealerV2

Insikt Groupは最近、Golden Chickensに起因する新たな情報窃取型マルウェアを特定し、2025年3月3日にRecorded Future Malware Intelligenceにアップロードしました。サンプルに埋め込まれたプログラムデータベース(PDB)パス(図3を参照)は、この脅威アクターがこのマルウェアをNOKと称していることを示唆していますが、Insikt GroupはこれをTerraStealerV2として追跡しています。

C:\Users\Admin\source\repos\NOK\NOK\x64\Release\NOK.pdb

図 3: TerraStealerV2 PDB string (情報源: Recorded Future)

スティーラーはOCXファイルとして配信され、regsvr32.exeを介して実行されることを目的としています。DllRegisterServer エクスポート関数を呼び出します。実行時に、DllRegisterServer は最初に指定されたファイルに .ocx があることを確認します拡張子で、ファイル名が特定のハードコードされた文字または数字 (0.ocx など) で終わることを確認します。次に、次の 図 4 に示すように、続行する前に、ファイルが regsvr32.exe によって実行されていることを確認します。

TerraStealerV2-003.png
図 4: TerraStealerV2のアンチアナリシスチェックを示すフローチャート(情報源: Recorded Future)

次に、マルウェアは、ハードコードされたキーを持つXORデコードルーチンを使用して文字列の難読化解除を実行します。GetUserNameAGetComputerNameA を呼び出してローカル ユーザー名とシステム名を取得することで、基本的なホスト情報を収集します。次に、 ifconfig[.]私。収集されたデータは、 図 5 に示すように、「NoterdanssBot」に関連付けられたボット トークンを使用して、Telegram メッセージング プラットフォームを介して「Noterdam」という名前のチャネルに流出します。

図 5 : TerraStealerV2 による初期データの Telegram への流出 (情報源: Recorded Future)

このメッセージのPOSTデータをURLデコードすると、この脅威アクターがTelegramチャンネルに構造化された通知を送信していることが判明します。図6に示される通知には、新しいユーザーがアプリケーションを実行したことを示すアラート、収集されたユーザー名とシステム名、ifconfig[.]meリクエストからの生のHTMLレスポンスが含まれています。

図 6 : Telegram に流出した URL デコードされたデータ (情報源: Recorded Future)

次に、マルウェアはアクティブなプロセスを列挙し、chrome.exeのインスタンスを検索します。検出された場合は、 TerminateProcess Windows API を使用してプロセスの終了を試みます。この動作は、Chrome のブラウザ データベース ファイルに対するファイル ロックを解除し、データ抽出中の妨げられないアクセスを確保することを目的としている可能性があります。これに続いて、マルウェアは保存されている認証情報やその他の機密データを Chrome から抽出し、特定の暗号通貨ウォレットやブラウザ拡張機能を標的にします。

Chrome ブラウザのデータベース盗難実装では、「ログイン データ」データベースを C:ProgramData\Temp\LoginData にコピーし、静的にリンクされた SQLite ライブラリを使用して保存されたログインを抽出し、SQL クエリ SELECT origin_url、username_value、password_value FROM ログインを実行します。TerraStealerV2 は SQLite バージョン 3.46.0 を使用しますが、これは RevC2 で静的にリンクされているのと同じバージョンであり、コードの再利用または共有開発プラクティスの可能性を示唆しています。ただし、この実装は Chrome の ABE をバイパスしないため、2024 年 7 月 24 日以降に更新された Chrome ベースのブラウザを搭載したホストでは、収集されたパスワードが復号化されません。この制限は、効果的なスティーラーには通常、復号化された認証情報を最新バージョンの Chrome または Microsoft Edge から抽出するための ABE バイパス技術が組み込まれているため、スティーラー コードが古くなっているか、まだ開発中であることを示唆しています。

Exfiltrated browser login data and informational messages are written to C:\ProgramData\file.txt and copied to %LOCALAPPDATA%\Packages\Bay0NsQIzx\p.txt when stealing operations have completed. If found, targeted browser extensions and wallets have their directories copied to %LOCALAPPDATA%\Packages\Bay0NsQIzx, and a Telegram message is sent indicating the number of crypto wallets found. The contents of %LOCALAPPDATA%\Packages\Bay0NsQIzx are subsequently compressed into an archive named output.zip, located in the same directory. The archive is then exfiltrated to the Telegram bot and a secondary C2 endpoint hosted at wetransfers[.]io/uplo.php, as shown in Figure 7. The domain wetransfers[.]io was registered on February 18, 2025, via NameCheap, Inc., and is currently hosted behind Cloudflare infrastructure.

図 7: TerraStealerV2 がデータを wetransfers に盗み出す[.]イオ。(情報源: Recorded Future)

配布

Insikt Group は、実行可能ファイル (EXE)、ダイナミック リンク ライブラリ (DLL)、Windows インストーラー パッケージ (MSI)、ショートカット (LNK) ファイルなど、TerraStealerV2 の配布に採用されている複数の配信メカニズムを特定しました。観察されたすべてのケースで、TerraStealerV2 OCX ペイロードは URL wetransfers[.]io/v.php— 同じドメインでホストされているリソースで、curl または PowerShell を使用してデータ流出に利用され、その後 regsvr32.exe 経由で実行されます ( 図 8 を参照)。

TerraStealerV2-004.jpg
図 8: TerraStealerV2 ディストリビューション サンプル攻撃チェーン (情報源: Recorded Future)

表 1 は 、ファイル名、コンパイル タイムスタンプ、Golden Chickens が展開していることが観察されている対応する TerraStealerV2 ペイロードを含む配布サンプルを示しています。1 つの LNK ファイル (SHA-256: 9aed0eda60e4e1138be5d6d8d0280343a3cf6b30d39a704b2d00503261adbe2a) は、ClickFix として追跡されたアクティビティ クラスタと重複しているように見えます。この場合、LNKファイルはMP4ファイルを装ったペイロードをドロップし、mshta.exeを介して実行されましたが、これは以前に観察された手口、戦術と一致する手法です。

TerraStealerV2の配布
ファイル名
コンパイル/初回送信タイムスタンプ
TerraStealerV2 がロードされました
9aed0eda60e4e1138be5d6d8d0280343a3cf6b30d39a704b2d00503261adbe2a
olala.lnk
2025-01-03 03:32 UTC
828eee78537e49b46e34a754306ccf67f6281b77e5caeaf53132a32b6b708e5c
58b324d37bbf6d706b0fe5dbb8bca92d9628a9c394ca81121cea1690a16a3afa
1.exe
2025-01-29 05:41:34 UTC
151a83f0b54d23d84fb152ee34c4344801da937d03cc354ab8a149d64b8247b3
63fb3ed0aba87917847ad256c4e89f7b250adc6e2eac74023bb52e091ab0ef97
BundleInstaller.dll
2025-02-18 22:20:54 UTC
151a83f0b54d23d84fb152ee34c4344801da937d03cc354ab8a149d64b8247b3
4b6fa036aceb1e2149848ff46c4e1a6a89eee3b7d59769634ce9127fdaa96234
setup.msi
2025-02-19 12:44:27 UTC
151a83f0b54d23d84fb152ee34c4344801da937d03cc354ab8a149d64b8247b3
14d9d56bc4c17a971a9d69b41a4663ab7eb2ca5b52d860f9613823101f072c31
setup.msi
2025-02-19 13:22:37 UTC
d6246e4f0425b38a26298b7840729e677c4d16f084a005c46fad4904637e726a
1ed9368d5ac629fa2e7e81516e4520f02eb970d010d3087e902cd4f2e35b1752
setup.msi
2025-02-19 19:26:03 UTC
151a83f0b54d23d84fb152ee34c4344801da937d03cc354ab8a149d64b8247b3
766690a09ec97e414e732d16b99b19389a91835abc15684cc0f1aba2ca93cf98
hyhyhy.lnk
2025-02-28, 07:40 UTC
828eee78537e49b46e34a754306ccf67f6281b77e5caeaf53132a32b6b708e5c
313203cb71acd29e6cc542bf57f0e90ce9e9456e2483a20418c8f17b7afe0b57
1.exe
2025-03-03 13:51:40 UTC
a2f7d83ddbe0aeba5f5113a8adf2011dc1a7393fa4fe123e74a17dbc2a702b13
de6ed44d21e5bc9bc5c1c51f33760a5d96378308d02c2c81ef2d75e7a201fb63
1.exe
2025-03-03 13:51:40 UTC
a2f7d83ddbe0aeba5f5113a8adf2011dc1a7393fa4fe123e74a17dbc2a702b13

表1: TerraStealerV2(情報源: Recorded Future)の配布に使用したサンプル

TerraLogger

Insikt Groupは、Golden Chickensに関連する新しいキーロガーを特定しました。このキーロガーは、2025年1月13日にRecorded Future Malware Intelligenceにアップロードされました。Insikt GroupはこのファミリーをTerraLoggerとして追跡し、5つの異なるサンプルを特定しました。4つのサンプルは意図したとおりに動作し、下の図9に示すように同じPDB文字列を含んでいます。残りのサンプルはこのPDB文字列を含まず、代わりにTerraStealerV2と同じPDBパスを使用しています(上記図3参照)。この外れ値は、TerraStealerV2と同じ文字列エンコード方法を使用した開発者テストのようです。ただし、キーロガー関連の文字列を初期化する際のクラッシュにより実行中に失敗し、マルウェアはプライマリエントリポイントに到達できていません。

C:\Users\PC\Downloads\Projector\Projector\x64\Release\Projector.pdb

図 9: TerraLogger PDB string (情報源: Recorded Future)

テラロガーは通常、OCXファイルとして提供され、TerraStealerV2と同じ初期実行チェックを行います。これは regsvr32.exe を介して実行されることを意図しています。これにより、DllRegisterServerのエクスポート機能が呼び出されます。実行時には、まず、提供されたファイルに.ocxがあることを確認します拡張子で、ファイル名がハードコードされた文字または数字(0.ocxなど)で終わっていること。次に、regsvr32.exe によって実行されていることを確認してから続行します。初期実行チェックに合格すると、TerraLoggerはファイルハンドルを開いてキーストロークを記録します。

Insikt Group は、特定された 5 つのサンプルで複数のファイル パスを特定し、ログは C:\ProgramData フォルダーにある a.txt、f.txt、op.txt、save.txt などのファイルに書き込まれました。このマルウェアは、 SetWindowsHookExA を使用してWH_KEYBOARD_LLフックをインストールし、メッセージ イベントをインターセプトして処理する fn コールバック関数 ( 図 10 を参照) を登録し、キーボード アクティビティをキャプチャできるようにするという、一般的に観察される手法を使用してキーロガーを実装します。

TerraStealerV2-005.png
図 10: キーロガーコールバック機能 (情報源: Recorded Future)

キーストロークは、mw_log_key 関数内の開いているログ ファイルに書き込まれます。この関数は、最初に現在の前景ウィンドウのタイトルを取得し、次に行区切り記号を追加し、その後にインターセプトされたキーストロークを追加します。これには、セミコロン、角かっこ、引用符などの特殊文字を処理するロジックが含まれており、Shift キーの状態をチェックして、ログに記録する正しい文字を決定します。キーコードが既知の特殊キーと一致しない場合は、<KEY-[キーコード]>形式で書き込まれます。結果のログ・ファイルの例を 図 11 に示します。

TerraStealerV2-006.png
図 11: キーロガーのログファイルの例 (情報源: Recorded Future)

表2は 、特定された5つのTerraLoggerキーロガーサンプルをリストし、バージョン間の違いを要約したものです。コンパイルのタイムスタンプは、最初のバージョンが 2025 年 1 月 13 日にビルドされ、最新のサンプルが 2025 年 4 月 1 日にコンパイルされたことを示しています。これらのサンプルは、マイナーな増分更新を反映しており、活発な開発を示唆しています。注目すべき変更点には、キーストロークログの保存に使用されるファイルパスの変更や、山括弧で囲まれた大文字のトークン (、 など) からパイプ区切りの小文字の略語 (|back|、|sft|など) への特別なキーの表現方法の変更が含まれます。

サンプル
コンパイル時刻
保存パス
特殊キーは大文字で表記
特殊キーの省略形
067421234fdd631628569bd86b6757ce4c78139c3609493c92db7b096b0c22f4
2025-01-13 14:16:35 UTC
c:\programdata\save.txt
315e0c9f0dbfa662327c57a570bcafc79b1ba816deb9647fd8da5dc6dc1e8808
2025-02-06 09:00:22 UTC
c:\programdata\save.txt
f06097b6f4bf86ad00c8f7115d538823a73e531b0f06b66f63f9c70e47f4ea98
2025-03-11 14:39:27 UTC
c:\programdata\op.txt
852879a9832cd13cbc9510503abf9b0906bb5e08e5ffae74381aaca3c502d826
2025-03-11 14:42:11 UTC
c:\programdata\a.txt
81117772d2b1997f4e280c3add3b56c128444ba05ec4eaaf2293ef8ff1c76257
2025-04-01 15:54:57 UTC
c:\programdata\f.txt

表2: スタンドアロンのTerraLoggerサンプル変更の比較 (情報源: Recorded Future)



分析全体を読むには、 Click Hereレポートを PDF としてダウンロードしてください。