TerraStealerV2とTerraLoggerの検出：新たなマルウェアファミリーの背後にいるGolden Chickensの脅威アクター

金銭的動機を持つ Golden Chickens グループは、 MaaS モデルの下で活動していることで知られ、TerraStealerV2とTerraLoggerという新たに特定された2つの悪意あるストレインに関連付けられています。これは、グループが攻撃ツールセットを強化および拡張する取り組みを続けていることを示しています。TerraStealerV2はブラウザの認証情報、暗号通貨ウォレットデータ、ブラウザ拡張機能の詳細情報を収集し、TerraLoggerはキーロギング機能を持つ独立したキー記録ツールとして機能し、キー入力を記録し、ログをローカルに保存します。

Golden Chickensの攻撃をTerraStealerV2とTerraLoggerマルウェアを利用して検出する

グローバル経済フォーラムのレポートによると、2025年には約72%の組織が過去12か月間に重大なサイバーリスクの増加を見たとし、63%は複雑化する脅威の状況をサイバー対応力を強化する上での最大の課題としています。サイバー犯罪者は、オートメーション、AI生成攻撃、ゼロデイ攻撃、洗練された戦術を利用して最も固く守られた防御までも侵害するようになっています。

SOC Primeプラットフォームに登録する ことで、Golden ChickensによるTerraStealerV2やTerraLoggerの進化する脅威に対抗できます。AIを活用した検出エンジニアリング、自動脅威ハンティング、先進脅威検出のための完全な製品スイートに裏付けられた攻撃者のTTPsに対応する関連するSigmaルールセットにアクセスしてください。ボタンを押して 探す 検出 をクリックし、キュレーションされた検出スタックに直ちに掘り下げます。

探す 検出

すべてのルールは複数のSIEM、EDR、およびデータレイク技術に対応しており、 MITRE ATT&CK® にマッピングされ、脅威調査を効率化します。さらに、各ルールには、 CTI 参照文献、攻撃タイムライン、監査設定、トリアージ勧告などの豊富なメタデータが付加されています。

サイバーディフェンダーは、“TerraStealerV2” および “TerraLogger” タグを使用して、脅威検出コンテンツの更新を追跡できます。

さらに、セキュリティプロフェッショナルは Uncoder AI を活用することができます。これは、脅威に基づいた検出エンジニアリングのためのプライベートIDE & コパイロットであり、今では完全に無料でAI機能にトークン制限なく利用可能です。生の脅威レポートから検出アルゴリズムを生成し、最適化されたクエリへの高速IOCスイープを有効化し、ATT&CKタグを予測し、AIの提案を用いてクエリコードを最適化し、48のSIEM、EDR、およびデータレイク言語間で翻訳することができます。

Golden Chickensの最新活動分析

Recorded FutureのInsikt Group研究者たちは Golden Chickensグループ（別名Venom Spider）に関連するいくつかの新しい悪意あるサンプルを発見しました。MaaSプラットフォームを運営し、 FIN6, Cobalt Group、および Evilnumなどの脅威アクターによって活用されていることで知られています。Golden Chickensは、認証情報の盗難とキーロギング活動をサポートするためにツールセットを積極的に拡大しているようです。

TerraStealerV2は、ブラウザの認証情報や暗号通貨ウォレット、拡張機能データを収集することができます。このマルウェアはLNK、MSI、DLL、およびEXEのさまざまな形式で観察されており、regsvr32.exeやmshta.exeといった正当なWindowsツールを利用して検出を回避します。Chromeの“Login Data”データベースにアクセスを試みますが、2024年7月以降のABEプロテクションを回避できないため、開発中または時代遅れであることを示唆しています。

また、新たに観察された悪意あるストレインであるTerraLoggerは、基本的なキーロガーとして機能し、標準的な低レベルのキーボードフックを使用してキー入力を記録し、そのログをローカルに保存します。データ流出やC2機能を欠いているため、早期段階のツールであるか、Golden ChickensのMaaSフレームワーク内でモジュール的に機能するように設計されている可能性があります。

少なくとも2018年以来、Golden ChickensのMaaSスイートは、特にハイプロファイル組織を標的とする攻撃に活用されてきました。これは主に職場紹介や履歴書を装ったスピアフィッシングメールを介して行われます。スイートの主な構成要素はVenomLNKとTerraLoaderです。感染は通常、悪意のあるWindowsショートカットであるVenomLNKから始まり、これがTerraLoaderを起動し、その後、Golden Chickensの追加ペイロードを配送します。これには認証情報の盗難用のTerraStealer、TeamViewerセッションハイジャック用のTerraTV、ランサムウェア展開用のTerraCryptが含まれます。Golden ChickensのMaaSエコシステム内の他の関連ツールには、システム調査用のTerraRecon、データ破壊用のTerraWiper、およびlite_more_eggsが含まれます。2024年後半には、Golden Chickensは RevC2バックドアとVenom Loaderの展開を担当し、これらはどちらもVenomLNKを介して配送されました。

TerraStealerV2とTerraLoggerは、成熟したGolden Chickensのツールキットで通常見られる洗練されたステルス機能を欠いているように見えますが、グループの認証情報の盗難とアクセスツールの構築における実績を考慮すると、これらの機能はさらに発展することが期待されています。Golden Chickensの攻撃によるリスクを最小限に抑えるため、組織は、絶えず進化する脅威に対して適時に防御するために、積極的なサイバーセキュリティ戦略を実施すべきです。 SOC Primeプラットフォーム は、AI、自動化、リアルタイムインテリジェンスによる集団的サイバー防御のための完全な製品スイートを備え、グローバル組織がサイバーセキュリティの態勢をリスク最適化できるようにセキュリティチームを支えます。