APT-C-60キャンペーンの概要
JPCERT/CCは、高度な持続的脅威グループAPT-C-60による継続的な攻撃について緊急警告を発しました。このグループは、洗練されたスピアフィッシングキャンペーンを通じて、日本の採用担当者を標的にし続けています。攻撃キャンペーンは、求職者になりすまして採用担当者に接触し、候補者の提出書類を定期的に確認する人事担当者の自然なワークフローを悪用しています。
戦術の進化:VHDXファイルの直接添付
2025年6月から8月にかけて、セキュリティ研究者は脅威アクターの戦術に大きな変化を観測しました。以前はGoogle DriveでVHDXファイルをホストしていたのに対し、最新の亜種では悪意のあるVHDXファイルが電子メールに直接添付されるようになりました。これにより、攻撃チェーンが短縮され、侵害の成功確率が高まっています。2024年8月の以前の攻撃では、被害者はGoogle DriveリンクからVHDXファイルをダウンロードするように誘導されていました。
正規ツールを悪用した多段階感染
受信者がVHDXファイルをマウントし、埋め込まれたLNKショートカットをクリックすると、正規のGitソフトウェアを巧妙に悪用してマルウェアの悪用が開始されます。悪意のあるLNKファイルは、正規のGitコンポーネントであるgcmd.exeを実行し、これがVHDXコンテナ内に保存されているglog.txtスクリプトを処理します。この手法により、攻撃者は信頼されたシステムプロセスを悪用することで、従来のセキュリティ制御を回避します。
初期スクリプトは以下の3つの重要な機能を実行します:
- 正当性を維持するためのデコイ履歴書ドキュメントの表示
- 被害者のシステム上に複数の永続ファイルを生成
- 「Downloader1」と呼ばれる最初のペイロードの実行
マルウェアは、Windowsレジストリ、特にCLSID {566296fe-e0e8-475f-ba9c-a31ad31620b1}を操作することでCOMハイジャックを通じて永続性を確立し、システム再起動後も実行を保証します。Downloader1は、ボリュームシリアル番号とコンピューター名の組み合わせを使用して、侵害されたデバイスを特定するために正規の統計サービスStatCounterと通信します。攻撃者はこれらの通信を監視し、制御下のGitHubリポジトリに該当する設定ファイルをアップロードします。StatCounterとGitHubは企業環境で一般的にホワイトリストに登録されているため、正規サービスを二重に利用することで、ネットワークベースの検出が極めて困難になっています。
マルウェア機能の強化:SpyGlace
APT-C-60グループは、SpyGlaceマルウェアフレームワークを大幅に更新しており、JPCERT/CCはバージョン3.1.12、3.1.13、3.1.14の3つの異なるバージョンを観測しています。最新のイテレーションは、2024年に文書化されたバージョン3.1.6と比較して、洗練された分析対策機能と拡張された機能を示しています。特に、攻撃者は以前実装されていたプロセス終了コマンドを無効にし、モジュールのロード、特定の機能の実行、2秒後のクリーンなアンロードが可能な新しい「uld」コマンドを追加しました。
マルウェアは、Key Scheduling Algorithmサイクルを増やし、追加のXOR操作を伴う変更されたRC4アルゴリズムを含むカスタム暗号化実装を採用しています。SpyGlaceのエンコードスキームは、文字列の難読化と動的なAPI解決のためにシングルバイトXORとSUB命令を組み合わせており、静的分析を大幅に困難にしています。コマンド&コントロールインフラストラクチャとの通信には、カスタムRC4バリアントの上にBASE64エンコーディングが重ねられ、すべてのペイロードはAES-128-CBC暗号化を使用して暗号化されています。
マルウェアの通信ヘッダーの分析により、初期チェックイン要求で一貫して「GOLDBAR」というuserid値が明らかになりました。セキュリティ研究者は、これが日本組織を具体的に標的としたキャンペーンを示していると考えています。この識別子は、Positive TechnologiesおよびJPCERT/CCが2024年に報告したパターンと一致しており、脅威アクターによる運用の継続性と地域的焦点を示唆しています。
インフラストラクチャ分析と帰属
攻撃者のインフラストラクチャがBitbucketからGitHubに移行したことで、彼らの運用に関する独自の可視性が得られました。GitHubはリポジトリが削除されない限り履歴コミットデータを保持するため、研究者はマルウェア展開のタイムラインを正常に再構築しました。バージョン3.1.12は2025年6月27日にアップロードされ、続いてバージョン3.1.13が7月3日、バージョン3.1.14が7月16日にアップロードされており、迅速なイテレーションサイクルと活発な開発が示されています。
GitHubコミットログの調査により、攻撃者が制御するリポジトリに関連付けられた電子メールアドレス、および正常に侵害されたデバイスのボリュームシリアル番号とコンピューター名が明らかになりました。キャンペーンで使用されたデコイ文書には、複数の研究論文を記載した偽造された学術履歴書が含まれていましたが、調査の結果、記載された著者には送信者の名前が含まれていないことが判明し、攻撃者がこの操作のためにペルソナベースの電子メールアカウントを作成したことを示しています。
推奨事項と結論
組織は、VHDXファイル添付ファイルに対する監視を強化し、異常なGitHubおよびStatCounterトラフィックパターンを監視し、COMハイジャック技術に焦点を当てた行動検出機能を展開することが強く推奨されます。JPCERT/CCは、APT-C-60が戦術的な進化にもかかわらず、一貫した手法で主に日本および東アジア地域を標的とし続けていることを強調しています。StatCounter、GitHub、Gitソフトウェアを含む正規サービスに対する脅威グループの執拗な悪用は、企業セキュリティアーキテクチャと検出の盲点に対する彼らの高度な理解を示しています。この脅威は依然として活発であり、進化し続けているため、地域のセキュリティチームからの継続的な警戒が必要です。