Google広告上で宣伝されていた有害なAppSuite PDF EditorがTamperedChefを配布

nosa

2025.10.17

ウィークリー・サイバーラウンド・アップ

Google広告上で宣伝されていた有害なAppSuite PDF EditorがTamperedChefを配布

Truesec – August 27, 2025

Google広告を使って偽Webサイトへ被害者を誘導し、情報窃取型マルウェア「TamperedChef」を含むトロイの木馬化したPDFエディタをダウンロード・インストールさせるキャンペーンをTruesecの研究者が観測した。広告は無料のPDFエディタ「AppSuite PDF Editor」を配信するサイトをいくつも宣伝しており、AIまたは大規模言語モデルを使用して作られたと思われる当該のエディタのコードは高度に難読化されていた。このキャンペーンの開始日は2025年6月26日とされているが、2025年5月15日の時点でAppSuite PDF Editorは解析のためすでにVirusTotalへ提出されていた。インストールファイルを実行するとエンドユーザーライセンス契約が表示され、その後、エディタはあるURLから有害な実行ファイルをダウンロード。インストール完了後、エディタは複数のGETリクエストを送信しつつ、タスクスケジューラーやレジストリキーを設定して永続性を獲得する。2025年8月21日以降に発生したTamperedChefに関連する複数のインシデントでは、さまざまなブラウザを終了させて認証情報やWeb Cookieなどの機微データを収集していた。また、このキャンペーンの背後にいる脅威アクターは、遅くとも2024年8月から活動を続けている。AppSuite PDF EditorとOneStartブラウザの間には類似点が見つかっているため、両アプリケーションの背後には同じ脅威アクターの存在が示唆されている。

Silver Fox APTが脆弱なWatchDogドライバーを悪用、検出を回避してValleyRATを配信

Check Point Research – August 28, 2025

Check Pointの研究者らは、Silver Fox APT（高度持続的脅威）グループの関与が疑われる、未知の脆弱なWatchDogアンチマルウェアドライバーを悪用した現在進行中の攻撃キャンペーンを発見した。このドライバーはセキュリティソリューションに関連するプロセスを終了することで、エンドポイントの検出と応答（EDR）や最新版のWindows 10/11に搭載されたアンチウイルスを回避する。このキャンペーンの最終的な狙いは、リモートアクセス型トロイの木馬「ValleyRAT」を配布すること。Silver FoxはWindowsの複数のバージョンで動作するよう2種類のドライバーを採用しており、レガシーシステムには既知の脆弱性を持つZemanaドライバーを、最新環境には未検出のWatchDogドライバーを使用する。どちらのドライバーも単一の自己完結型ローダーに組み込まれており、このローダーにはアンチ解析レイヤーとValleyRATダウンローダーも含まれていた。マルウェアが実行ファイルを内蔵したRARアーカイブ、またはDLLサイドローディングを介して配信された後、将来的な永続性とC2通信を目的としたサービスが確立される。Microsoftが署名済みのこのドライバーはZemana Anti-Malware SDKを基に構築され、「Microsoftが推奨するドライバーブロックの規則」をすり抜け、コミュニティプロジェクトによっても検出されない。また、発見されたC2サーバーはどれも中国国内でホストされていた。WatchDogのドライバーのうちamsdk[.]sysのバージョン1.0.600が影響を受けたため、同社はすべての製品をwamsdk[.]sysのバージョン1.1.10に更新している。

Sindoor Dropperスピアフィッシングキャンペーン、MeshAgent搭載のLinuxシステムを標的に

Nextron – August 29, 2025

Nextronの研究者により、.desktopファイルを使ってLinuxシステムを狙うスピアフィッシングキャンペーン「Sindoor Dropper」が発見された。同キャンペーンの最終目的はMeshAgentの配布で、ペイロードが展開されるとアクティビティの監視、ラテラルムーブメント、永続的なアクセスに加えてデータ窃取など、標的システムへの完全なリモートアクセスが可能になる。有害な.desktopファイルは実行されると、一見無害に見えるおとりのPDF、破損した復号ツール、そして暗号化されたダウンローダーをダウンロードする。この復号ツールはUPXでパックされたGoバイナリで、Googleドキュメントによるスキャンを回避すべくELFファイルとして識別するためのマジックナンバーが削除されており、AES暗号化とペイロードの実行を担う。第二段階のペイロードは復号後、UPX圧縮のGoドロッパーとして機能し、AESで暗号化されたペイロードとともに別の復号ツールをドロップ。復号プロセスは最終的にMeshAgentの展開で終了する。この攻撃で使用された手法はAPT36に関連付けられており、「Operation Sindoor」を想起させる。

トロイの木馬化されたScreenConnectインストーラーを使い、AsyncRATなど複数のRATを展開

Acronis – September 3, 2025

Acronisの研究者は2025年3月以降、トロイの木馬化されたScreenConnectインストーラーを使って初期アクセスを獲得し、複数のリモートアクセス型トロイの木馬（RAT）を展開する攻撃が増えていることを確認した。米国拠点の複数組織が標的にされており、最近の攻撃ではよりサイズの小さなClickOnceランナーインストーラーが展開されているが、これは従来のフルインストーラーより回避性が高いため攻撃者にデバイスの完全な制御を許してしまう。攻撃はソーシャルエンジニアリングキャンペーンから始まっているとみられ、被害者を誘導し、二重拡張子でPDF文書に見せかけた有害な実行ファイルをダウンロードさせるものの、このファイルがClickOnceインストーラーになっている。実行されたインストーラーはScreenConnectを起動し、被害者のマシンを攻撃者のC2サーバーに接続。インストールプロセス中にAsyncRATのほか、基本的な機能を提供する自作のRATという2つのペイロードをドロップする。最初の侵害から2週間後、攻撃者はScreenConnectへのアクセスを悪用し、刷新された感染チェーンからAsyncRATのアップデート版を展開。その数週間後にはWindows Management Instrumentation（WMI）を悪用し、PureHVNC RATを展開していた。ScreenConnectインストーラーに関連するドメインは、XWormおよびDCRatと関係があることも確認されている。