## はじめに **Atos**の脅威リサーチセンター（TRC）は、2026年3月に高度な悪意のあるキャンペーンを特定しました。このオペレーションは、管理ユーティリティを装うことで、エンタープライズ管理者、DevOpsエンジニア、セキュリティアナリストの特権の高いプロフェッショナルアカウントを標的としています。**検索エンジン順位（SEO）ポイズニング**、**二段階のGitHub配布アーキテクチャ**、および**分散型ブロックチェーンベースのコマンド＆コントロール（C2）解決**を統合することにより、脅威アクターは非常にレジリエントな配信および永続化メカニズムを確立しました。 ### GitHubファサードを通じたクリエイティブな配布 このキャンペーンは、プラットフォームレベルのテイクダウンを回避し、検索エンジンのランキングを高く維持するために設計された多層的な配信チェーンを利用しています。攻撃は、**Bing**、**Yahoo**、**DuckDuckGo**、**Yandex**を含むさまざまな検索エンジンでの**SEOポイズニング**から始まります。これにより、ニッチなIT用語に対する悪意のある結果が検索結果の上位にランク付けされます。ユーザーは最初に**プライマリ「ファサード」GitHubリポジトリ**に誘導されます。これらのリポジトリはSEO向けに最適化されていますが、悪意のあるコードは含まれておらず、プロフェッショナルに見えるREADMEファイルのみが含まれています。 運用上の柔軟性を維持するために、READMEには、被害者を**第二の隠されたGitHubリポジトリ**に誘導するリンクが含まれています。これはマルウェアの真の配布ポイントとして機能します。SEO最適化された「ストアフロント」とペイロード配信アカウントを分離することで、脅威アクターはフラグが立てられた場合に配布リポジトリを迅速にローテーションできますが、プライマリ検索インデックス化されたファサードはアクティブで変更されないままです。 ### 戦略的なツールのなりすましと被害者のプロファイリング このキャンペーンは、**管理スタック**に焦点を当てていることが特徴です。**PsExec**、**AzCopy**、**Sysmon**、**LAPS**、**Kusto Explorer**などのツールを装った悪意のあるMSIインストーラーを配布することにより、攻撃者は自動化された被害者プロファイリングを実行します。これらのユーティリティは、ほぼ排他的に、ネットワークおよびシステム権限が昇格された担当者によって使用されます。管理者ワークステーションでの感染が成功すると、「王国の鍵」が提供され、エンタープライズ環境内でのラテラルムーブメントを促進する可能性があります。 ### Ethereumを通じた分散型コマンド＆コントロール このキャンペーンの技術的に最も重要な側面は、**ブロックチェーンベースのデッドドロップ解決（DDR）**の実装です。悪意のあるMSIが実行されると、マルウェアは簡単にブロックリスト化される可能性のあるハードコードされたドメインまたはIPアドレスに到達しません。代わりに、マルウェアはパブリックな**Ethereum（ETH）RPCエンドポイント**へのクエリを繰り返し開始します。 マルウェアは、Ethereumブロックチェーン上の特定の**スマートコントラクトアドレス**をハードコードしています。このコントラクトをクエリすることにより、マルウェアはライブC2サーバーアドレスを動的に取得します。この技術は、攻撃者に極端なレジリエンスを提供します。 * **インフラストラクチャの俊敏性:** 攻撃者は、ブロックチェーンコントラクトに格納されている値を更新するだけで、グローバルにC2サーバーをローテーションできます。 * **堅牢性:** パブリックEthereumゲートウェイにアクセスできる限り、マルウェアは常に「ホーム」を見つけることができるため、従来のドメインテイクダウンまたはブロック努力は効果がありません。 ## 研究分析 この研究は、長期的な観察と制御された環境でのアクティブなデトネーションに基づき、現在のキャンペーンの包括的な技術分析を提供します。私たちの研究は、初期配信ベクトルを超えて、高度なインフラストラクチャとポストエクスプロイトの動作を調査します。 以下のデータポイントは、キャンペーンのコアオペレーションメカニズムを表しています。 * **マルウェア配布:** 二段階のGitHubリポジトリアーキテクチャと、検索エンジンの結果を操作するためのSEOポイズニングの使用の内訳。 * **管理ツールのなりすまし:** 特権の高いIT担当者の侵害を確実にするために、なりすまされている特定の管理ユーティリティの詳細な調査。 * **マルウェアロジック:** 初期ステージングと永続化コンポーネントを含む、悪意のあるMSIペイロードのマルウェア分析。 * **分散型C2インフラストラクチャ:** 動的にライブコマンド＆コントロール（C2）アドレスを解決するために、EthereumスマートコントラクトとパブリックRPCゲートウェイの使用に関する調査。 *注記: 研究の最終化中に、この脅威アクターのキャンペーンに関する**KISA**＆KrCERT/CCからの予備的なアラートを特定しました - [LINK](https://www.boho.or.kr/kr/bbs/view.do?bbsId=B0000133&pageIndex=1&nttId=71998&menuNo=205020)。彼らの初期レポートは早期の可視性を提供しましたが、私たちの長期的な調査は、キャンペーンが依然として非常にアクティブであり、大幅な技術的成熟を遂げたことを確認しています。* *私たちの調査はさらに、マルウェアが進化しており、キャンペーン開始以来、いくつかの異なるバリアントと追加のC2インフラストラクチャが特定されていることを確認しています。* > 最新の脅威インテリジェンスとアドバイザリーリサーチの洞察については、[Atos Cyber Shield Blogs.](https://atos.net/en/lp/cybershield)をご覧ください。 ### マルウェア配布 以下のビジュアライゼーションは、SEO最適化されたファサードリポジトリが不審なユーザーを悪意のあるMSIをホストするセカンダリGitHubアカウントにリダイレクトする二段階配布チェーンを示しています。このモジュラーアーキテクチャにより、個々のペイロード配信アカウントがテイクダウンされた場合でも、脅威アクターは検索エンジンのランキングを維持できます。  侵入ライフサイクルは、専門的なIT管理ユーティリティの検索を通じて、Bing（Yahoo、DuckDuckGo、Yandexも含む）での検索クエリから始まります。積極的なSEOポイズニングにより、脅威アクターはファサードGitHubリポジトリが検索結果の上位に目立つように表示されることを保証します。この場合、KQLを介してAzure Data Explorerをクエリするエンジニアおよびアナリストにとって重要なツールであるKusto Explorerを検索しているユーザーは、初期の信頼を構築するために設計された非悪意のあるストアフロントに誘導されます。 <table><tbody><tr><td></td></tr><tr><td>「kusto explorer」のBing検索</td></tr></tbody></table> <table><tbody><tr><td></td></tr><tr><td>「kusto explorer download」のBing検索</td></tr></tbody></table> ユーザーが最初に開くリポジトリは、標的となった管理ツールをなりすますストアフロントです。このファサードリポジトリは意図的にマルウェアを含んでおらず、配信プロセスの第二段階へのゲートウェイとしてのみ機能します。このような設計のおかげで、高い検索エンジンのランキングを維持できます。 最初のGitHubリポジトリ - ファサードとしてのみ使用 <table><tbody><tr><td></td></tr></tbody></table>