Hacker monitoring infected devices

広範な属性とシステム・プラットフォームをターゲットとする30のキャンペーンを網羅する大規模な情報窃取マルウェア活動が、”Marko Polo “と名付けられたサイバー犯罪グループによるものであることが明らかになった。

この脅威集団は、マルバタイジング、スピアフィッシング、オンラインゲーム、暗号通貨、ソフトウェアにおけるブランドのなりすましなど、さまざまな流通経路を利用して、AMOS、Stealc、Rhadamanthysを含む50のマルウェアのペイロードを拡散しています。

Marko Poloの活動を追跡してきたRecorded FutureのInsikt Groupによると、このマルウェアキャンペーンは数千人に影響を与え、潜在的な金銭的損失は数百万ドルに上るという。

「Marko Poloのキャンペーンが広範囲に及んでいることから、Insikt Groupは、全世界で数万台のデバイスが侵害され、機密性の高い個人データや企業データが流出した可能性が高いと推測しています

「これは、消費者のプライバシーと事業継続性の両方に重大なリスクをもたらします。ほぼ間違いなく数百万ドルの不正収益が発生しており、このようなサイバー犯罪活動の経済的悪影響も浮き彫りになっている。

Clusters and distinct campaigns associated with Marko Polo
Marko Poloに関連するクラスターと明確なキャンペーン
出典:レコーデッド・フューチャー

価値の高い罠を仕掛ける

Insikt Groupによると、Marko Poloは主にソーシャルメディアプラットフォーム上のダイレクトメッセージを使ったスピアフィッシングに依存しており、暗号通貨のインフルエンサー、ゲーマー、ソフトウェア開発者、その他貴重なデータや資産を扱う可能性の高い人々など、価値の高いターゲットにアプローチしています。

被害者は、合法的な求人やプロジェクトコラボレーションだと騙され、悪意のあるソフトウェアをダウンロードさせられてしまう。

なりすまされているブランドには、Fortnite(ゲーム)、Party Icon(ゲーム)、RuneScape(ゲーム)、Rise Online World(ゲーム)、Zoom(生産性向上)、PeerMe(暗号通貨)などがある。

Marko Poloはまた、Vortax/VorionやVDeck(会議用ソフトウェア)、WasperやPDFUnity(コラボレーション・プラットフォーム)、SpectraRoom(暗号通信)、NightVerse(Web3ゲーム)など、既存のプロジェクトとは関係のない独自のでっち上げブランドも使用している。

場合によっては、被害者は偽の仮想ミーティング、メッセージング、ゲームアプリケーションのウェブサイトに誘導され、マルウェアのインストールに利用されます。また、トレントファイル内の実行ファイル(.exeまたは.dmg)を介してマルウェアを配布するキャンペーンもあります。

One of the malicious sites promoting a fake product
偽の製品を宣伝する悪質なサイトの1つ
Source:Recorded Future

WindowsとmacOSの両方を攻撃

Marko Poloのツールキットは多様であり、この脅威グループがマルチプラットフォームおよびマルチベクター攻撃を実行できることを示しています。

Windows上では、HijackLoaderは、ブラウザや暗号ウォレットアプリからデータを収集するように設計された汎用の軽量情報窃取ツールであるStealcや、広範なアプリケーションやデータタイプを標的とする、より特殊化された窃取ツールであるRhadamanthysの配信に使用されます。

最近のアップデートで、Rhadamanthysは、暗号通貨の支払いを攻撃者のウォレットに流用することができるクリッパープラグイン、削除されたGoogleアカウントクッキーを回復する機能、およびWindows Defenderの回避を追加しました。

ターゲットがmacOSを使用している場合、Marko PoloはAtomic(「AMOS」)を展開します。このステイラーは2023年半ばに発売され、サイバー犯罪者に月額1,000ドルでレンタルされ、ウェブブラウザに保存されている様々なデータを掠め取ることができる。

AMOSはまた、MetaMaskのシードをブルートフォースし、Apple Keychainのパスワードを盗むことで、WiFiパスワード、保存されたログイン、クレジットカードデータ、macOSに保存されたその他の暗号化された情報を手に入れることができる。

Marko Polo's infection chain
Marko Poloの感染チェーン
Source:Recorded Future

ゼロデイ脆弱性偽のVPNGitHubの問題の修正、さらにはStackOverflowの回答などを通じて被害者を狙う脅威行為者たちによって、情報窃取マルウェアを含む悪質なキャンペーンはここ数年で大規模な成長を遂げている。

これらの認証情報は、企業ネットワークへの侵入、大規模なSnowFlakeアカウント侵害で見られたようなデータ窃盗キャンペーンの実施、ネットワーク・ルーティング情報の破損による混乱を引き起こすために使用されます。

自分のシステム上でインフォスティーラー・マルウェアをダウンロードして実行するリスクを軽減するには、見知らぬ人が共有するリンクをたどらず、公式プロジェクトのウェブサイトからのみソフトウェアをダウンロードすることだ。

Marko Polo が使用するマルウェアは、ほとんどの最新のアンチウイルス・ソフトウェアで検出されるため、ダウンロードしたファイルを実行する前にスキャンすることで、感染プロセスが始まる前に破壊することができます。