偽セキュリティツールが台湾の組織を標的としたLucidRookマルウェア攻撃

ハッカーは、偽のセキュリティツールと巧妙に作成されたフィッシングメールを使用して、台湾の組織に対して新しいマルウェアファミリーであるLucidRookを秘密裏に展開しています。

攻撃の概要

Cisco Talosは、このキャンペーンをUAT-10362と追跡しており、主に台湾のNGOやおそらく大学を標的としています。このキャンペーンは高度な計画性、ステルス性、技術的な洗練さを示しています。

攻撃者は合法的なメールインフラストラクチャを使用して標的に送信されるスピアフィッシングメールを送ります。これにより、ターゲットがメールを開く可能性が高まります。

2025年10月に台湾のNGOに対して送られたメールでは、短縮URLが使用され、パスワードで保護された暗号化RARアーカイブをダウンロードするよう促しました。パスワードはメール本文内に含まれていました。

Talosは、これらのアーカイブから2つのマルウェア展開チェーンを特定しました。どちらもセキュリティツールやクリーニングツールとして偽装されていますが、最終的にはLucidRookを展開します。

このチェーンでは、アーカイブには悪意のあるLNKファイルと隠しディレクトリツリーが含まれています。これらのディレクトリは迅速な分析を困難にするよう設計されています。

LNKファイルはPDFとして偽装され、隠されたディレクトリツリー内の最も深いフォルダにはLucidPawnドロッパーDLL（DismCore.dll）、正当なDISM関連の実行可能ファイル（install.exe）および誘導文書が含まれています。

ユーザーがLNKをクリックすると、PowerShell PesterビルドスクリプトがWindowsモジュールディレクトリから実行され、隠されたパスからのバイナリを起動します。これにより、DISMファイルはDLL検索順序ハイジャックを使用してLucidPawnをサイドロードします。

このチェーンでは、パスワードで保護された7-Zipアーカイブ内に単一の.NET実行可能ファイルが含まれています。これは、中国語圏のユーザー向けにカスタマイズされています。

抽出されたCleanup.exeはTrend Micro Worry-Free Business Securityとして偽装され、正当なDISM実行可能ファイル、LucidRookステージDLL、およびStartUp LNKをC:\ProgramDataに書き込みます。これにより、ユーザーが「クリーンアップ完了」というメッセージボックスを見ることになります。

LucidRookは64ビットDLLで、Lua 5.4.8インタプリタとRustコンパイルライブラリを内蔵しています。これにより、短いライフタイムを持つステージ化されたLuaバイトコードペイロードの柔軟な実行プラットフォームが形成されます。

これらの特性により、攻撃者は高度に洗練されたサイバー諜報活動を展開しています。

元記事: https://gbhackers.com/lucidrook-in-taiwan-cyberattacks/