TA415、米中経済協議中にスピアフィッシングメールを活用してWhirlCoilローダーを展開

yab

2025.10.17

ウィークリー・サイバーラウンド・アップ

TA415、米中経済協議中にスピアフィッシングメールを活用してWhirlCoilローダーを展開

Proofpoint – September 16, 2025

Proofpointの研究者の観測によると、高度持続脅威（APT）グループTA415（APT41、Brass Typhoon、Wicked Panda）が2025年7月から8月にかけて複数のフィッシングキャンペーンを展開し、米国の政府組織・シンクタンク・教育機関を標的にWhirlCoilローダーを配信していた。TA415は現職の米国の下院中国特別委員会委員長や米中経済協議会会長の名をかたり、両国の経済に関連したルアーを仕込んだEメールを送信している。フィッシングメールは通常、パブリッククラウド共有サービス（Zoho WorkDrive、 Dropbox、OpenDrive）でパスワード保護されたアーカイブのリンクを含んでおり、Cloudflare WARP VPNサービスを使用して送信されていた。また、アーカイブにはLNKファイルが含まれ、隠しサブフォルダ内のバッチスクリプトを実行し、OneDrive上では破損したPDFファイルを偽造文書として表示する。このバッチスクリプトは、LNKファイルと同じフォルダに埋め込まれたPythonパッケージにバンドルされているpythonw.exeを介してWhirlCoil Pythonローダーを実行。スケジュールされたタスクを作成して永続性を獲得し、WhirlCoil Pythonスクリプトを2時間に1度実行する。感染チェーンの初期の試行では、WhirlCoilをペーストサイト（Pastebinなど）から、Pythonパッケージを公式サイトからそれぞれダウンロードする。

デイリーサイバーアラート

APT

Silobreaker-CyberAlert

中国

米中間の貿易交渉をターゲットにした不正Eメールを米当局が調査、中国ハッカーAPT41が関与との報道

佐々山 Tacos

2025.09.08

APT

Silobreaker-CyberAlert

中国

SEOポイズニングキャンペーンで複数のマルウェアを配信、中国語話者のユーザーが標的に

Fortinet – September 12, 2025

Fortinetの研究者は2025年8月、中国語を話すユーザーを狙い、偽ソフトウェアサイトからマルウェアをダウンロードさせる検索エンジン最適化（SEO）ポイズニング攻撃を観測した。GoogleでDeepL翻訳・Google Chrome・Signal・Telegram・WhatsApp・WPS Officeをといったツールを検索すると偽装サイトが表示され、リダイレクト先でトロイの木馬化したインストーラーを使ったマルウェアが配信される。このようなサイトは複数のマルウェアを配信しており、代表的なものとしてはHiddengh0stやWinosの亜種などが挙げられる。攻撃は多段階感染チェーンに沿って実行され、JSONデータをダウンロードするJavaScriptを発端とする。このJSONデータには2段階目で必要なリンクが含まれ、そのリンクが有害なインストーラーの最終URLにリダイレクトするリンクを含む別のJSONレスポンスを参照する。インストーラーに含まれているDLLはサイドロードされており、C2通信の確立や、システムデータと被害者データの収集を行うだけでなく、被害者環境を継続的に評価して永続性を確認したり、さまざまなアンチ解析をチェックしたりするためにも使用される。永続性はTypeLib COMハイジャックとWindows実行ファイルの作成によって実現している。

APT28、オペレーション「Phantom Net Voxel」でCovenantフレームワークの展開にPNGファイルを利用

Sekoia – September 16, 2025

サイバーセキュリティ企業Sekoiaの研究者チームは、APTグループAPT28が実行しているオペレーション「Phantom Net Voxel」を観測した。このオペレーションは、BeardShellバックドアとCovenantフレームワークを実行することを目的としている。感染チェーンはVisual Basicマクロを含むOffice文書がSignalのプライベートチャットで送信されることから始まり、最終的にBeardShellとSlimAgentを展開。このマクロがシステムにDLLファイルとPNGファイルをドロップし、そのPNGファイルにはPEファイルを読み込むためのシェルコードがステガノグラフィーの手法で埋め込まれている。さらにPEファイルは、CovenantのHTTP Grunt Stagerモジュールであることが判明した。CovenantとそのC2Bridge機能は、クラウドインフラKoofrのAPIとの通信、情報収集を目的としたファイルのアップロード、追加ペイロードのダウンロードなどに利用される。また、Office文書に関連する2件の異なるアカウントが発見され、115件以上のファイルと一意性のあるGUIDが断片的ではあるものの42件検出されたことから、複数の標的システムがすでに侵害されホストとなっている可能性が示唆された。2025年8月には武器化されたExcel文書を使い、同じ感染チェーンがパブリッククラウド環境で再利用されたこともわかっており、APT28が感染チェーンの再利用・改変を狙っていることが確認されている。

ステガノグラフィー活用したオペレーション「SlopAds」が3,800万超のペイロードを拡散

HUMAN – September 16, 2025

HUMANのセキュリティ研究チームにより、「SlopAds」と名付けられた不正広告・クリック詐欺オペレーションが明らかになった。同オペレーションでは攻撃者が224超のアプリを運営しており、これらは延べ228の国と地域でGoogle Playストアから計3,800万回以上ダウンロードされていた。各アプリはペイロードの配信にステガノグラフィーの手法を活用し、隠しWebViewで攻撃者所有のキャッシュアウトサイトへ誘導して広告インプレッションやクリックを不正に生成している。使用されたインフラと多くのアプリには、人工知能（AI）をテーマにしているという共通点が認められた。これらのアプリは複数のコマンド＆コントロール（C2）サーバーと専用のプロモーションドメインによって管理され、C2ネットワークの広範さがこのオペレーションを拡大しようとする攻撃者の意図を示唆している。C2サーバーは最終的に4件のPNGファイルを配信し、ここにデジタルステガノグラフィーを用いて暗号化されたAPKファイルを隠蔽。このAPKファイルを復号・再構築すると、不正広告モジュール「FatModule」が構成される。このキャンペーンでは検出回避のために独自のアトリビューション分析・効果計測ツールを使っており、同キャンペーンが使用したした広告を介してアプリがダウンロードされた場合にのみ下流の不正広告・クリック攻撃に利用された。Googleは現在までに特定されたアプリをPlayストアからすべて削除している。