-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
中国関連アクター、PlugXバックドアで湾岸諸国を狙う
中国に関連しているとみられる脅威アクターが、湾岸地域の国々を狙ってPlugXマルウェアを配布しようとするキャンペーンを実施していたとZscalerの調査チームThreatLabzが報告。進行中の戦争に関連する囮ファイルを用いたこのキャンペーンは、2月28日の戦争開始から24時間以内に始まったという。
ThreatLabzは3月1日、中国関連のアクターが中東での紛争の話題を利用した新たな活動を実施しているのを観測。多段階の攻撃チェーンから成るこのキャンペーンはZIPアーカイブを通じて複数のペイロードを配布するもので、最終的にPlugXバックドアを展開することを目的としていたとされる。攻撃者のTTPを踏まえ、ThreatLabzはこれが中国関連のアクターによるものだと高い確度で評価。また中国系グループの中でもMustang Pandaに関連している可能性があると中程度の確度で評価している。
攻撃者が用いるZIPアーカイブには、Windowsショートカット(LNK)ファイルが含まれており、これが開かれると、悪意あるWindows Compiled HTML Help(CHM)ファイルがアクターの制御下にあるサーバーからダウンロードされる。その後、このCHMコンテンツは最終的にPlugXのインストールを担う多段階ペイロードの配布に利用されるという。
<攻撃チェーンの大まかな流れ>
- ZIPアーカイブ内の「photo_2026-03-01_01-20-48[.]pdf[.]lnk」というLNKファイルにより、「hxxps://www.360printsol[.]com/2026/alfadhalah/thumbnail?img=index.png」から悪意あるCHMファイルがダウンロードされる。
- LNKファイルが正規のWindows HTML Help実行ファイル(hh[.]exe)を-decompileオプション付きで実行し、CHMファイルの内容を抽出する。
- CHMファイルから抽出されるのは、第2段階のWindowsショートカットファイル(0[.]lnk)と、ルアーとして使われる囮PDFファイル(ファイル名は「3」)、および悪意あるコンポーネント数点を含んだTARアーカイブ(ファイル名は「4」)。
- 第1段階のLNKファイルが、第2段階の「0[.]lnk」を実行する。
- 0[.]lnkが、以下のアクションを実施:
- 囮PDF「3」をphoto_2026-03-01_01-20-48.pdf(同一のディレクトリ)に移動させる。
- ファイル「4」をTARアーカイブとして扱い、含まれるコンテンツを%AppData%に移動させる。
- 「%AppData%\BaiduNetdisk\ShellFolder[.]exe」を、引数「–path a」を指定して実行する。
- TARアーカイブに含まれる実行ファイル「ShellFolder[.]exe」が、DLLサイドローディングを利用し、悪意あるDLLでありシェルコードローダーである「ShellFolderDepend[.]dll」をロードする。
- ShellFolderDepend[.]dllは永続性の確立を担っており、それが完了するとTARアーカイブ内のファイル「Shelter[.]ex」に保存されている暗号化されたシェルコードペイロード(PlugXシェルコードローダー)を復号し、実行する。
- PlugXシェルコードローダー内には次段階のバックドア(PlugX)が暗号化・圧縮されて保管されており、実行時に復号・解凍される。
- PlugXは、次の段階の攻撃を続けるべくロード・実行される。
ThreatLabzが観測したPlugXサンプルは、TCP・HTTPS・DOH・UDPの4つのC2チャネルをサポートしており、DOHについてはhttps[:]//dns[.]google/dns-queryを用いたドメイン解決用だったとされる。またこのサンプルはシステム情報の収集・送信、プラグインのトリガー、接続の切断、コンフィグレーションの入手/更新、LANスキャン結果の入手など複数のC2コマンドに対応しており、過去に実施されたPlugX解析の結果と大幅に類似していたという。
今回の攻撃チェーンにおいて特徴的なのが、ルアーとしてミサイル攻撃の画像を含んだ囮用PDFファイルがドロップされる点。PDF内には、「バーレーン国内の米軍基地に対するイランのミサイル攻撃」という意味のアラビア語が記されており、攻撃者がいかに迅速に戦争という話題をソーシャルエンジニアリングの手段として利用し始めたかが伺える。ThreatLabzはまた、シェルコードおよびPlugXにControl Flow Flattening(CFF)やMixed Boolean Arithmetic(MBA)といった難読化技法を用いてリバースエンジニアリングを困難にしていた点なども要点として挙げている。
ThreatLabzは身に覚えのないファイルを開く際や、中東情勢に関するニュースを謳ったリンクをクリックする際には注意を払うようセキュリティコミュニティに推奨。ブログ記事内で、関連するIoCも提供している。
【Eブック無料配布中:Codebook 2025 ~サイバーセキュリティ分析レポート~】
Codebookの記事が、Eブックになりました。サイバーセキュリティの2025年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。
無料ダウンロードはこちらから:
その他の無料配布中レポート
地政学レポート
【最新版】インテリジェンス要件定義に関するガイドブック
-300x200.png)
OSINT関連レポート
ディープ&ダークウェブレポート
