サイバーニュース.jp

世界のサイバーなニュースを配信

LNKファイルを悪用しWindowsシステムにMoonPeakマルウェアを展開する脅威アクター

カテゴリ:

はじめに:巧妙化するサイバー攻撃

最近、LNK(ショートカット)ファイルを悪用してWindowsユーザーを標的とする、洗練された三段階のマルウェア攻撃キャンペーンが確認されました。このキャンペーンは、特に韓国の金融投資家を狙い、その手口の巧妙さからセキュリティ業界に警鐘を鳴らしています。

攻撃の詳細:手口とソーシャルエンジニアリング

攻撃は、ユーザーの信頼を悪用するソーシャルエンジニアリングから始まります。攻撃者は、「실전 트레이딩 핵심 비법서.pdf.lnk」(実践トレードの秘訣書)という魅力的な名前のLNKファイルを使用し、標的を誘い込みます。ユーザーがこのファイルを開くと、合法的なPDF文書が表示されると同時に、難読化されたPowerShellスクリプトがバックグラウンドで密かに実行されます。この二重の動作により、ユーザーはマルウェア感染に気づきにくくなっています。

このキャンペーンは、2026年1月に日本のインターネットイニシアティブ(IIJ)のセキュリティ研究者によって観測され、これまでに知られていなかった感染経路が明らかになりました。これにより、北朝鮮に関連するとされる脅威アクターが運用する、XenoRATのリバースコネクション型トロイの木馬の亜種であるMoonPeakマルウェアが配布されていることが判明しています。

高度な回避技術

攻撃に使用されるPowerShellペイロードは、標的システム上で偵察と回避のための高度なチェックを実行します。これには以下のものが含まれます:

  • VMwareやVirtualBoxなどの仮想化環境の検出
  • dnSpy、IDA、x64dbg、Wireshark、Process Monitorといった50種類以上のセキュリティ分析ツールの検出

これらの監視プロセスが検出された場合、マルウェアは直ちに実行を終了し、動的分析を効果的に阻止します。さらに、ファイルベースの検出を回避するために、ランダムな一時フォルダとファイルを作成し、WScript.exeを使用してスケジュールされたタスクを通じて永続化を確立します。

多段階デリバリーメカニズム

MoonPeakマルウェアは、多段階のデリバリープロセスを経て最終的に展開されます。

  • 第一段階:初期のPowerShellスクリプトは、攻撃者のコマンド&コントロール(C2)インフラ「hxxp://mid[.]great-site[.]net」と通信し、ホスト名、OSバージョン、プロセスリストなどのシステム情報をPOSTリクエストで「/maith.php」に送信します。
  • 第二段階:二番目のPowerShellスクリプトは、GitHubリポジトリ(macsim-gun/FinalDocuoctobor.docx)からマスクされた実行ファイルをダウンロードします。これは、信頼できるサイトを悪用する「Living Off Trusted Sites」(LOTS)という手法です。ダウンロードされたファイルはGZIP圧縮とヘッダー操作によって難読化され、「Stella.exe」という.NETアセンブリとして抽出されます。

この「Stella.exe」こそがMoonPeakマルウェア本体であり、ConfuserExという高度な.NET難読化ツールを用いて強力に難読化されています。マルウェアの構成には、ミューテックス名「Dansweit_Hk65-PSAccerdle」が含まれており、C2サーバー「27.102.137[.]88:443」に接続します。

脅威アクターの特定と背景

攻撃者のGitHubコミットメール「sandamalmacsim @.pyenv/versions/3.11.11/lib/python3.11/site-packages/googleapiclient/discovery_cache/documents/gmail.v1.json[.]com」や、韓国語のファイル命名規則から、この脅威アクターは北朝鮮に関連するオペレーターであると指摘されています。これは、2025年8月にTrellixが分析したMoonPeakに関する報告と機能的に一貫しており、既知の攻撃パターンを継続的に利用していることが示唆されます。

組織およびユーザーへの推奨事項

この種の脅威から身を守るために、以下の対策を強く推奨します。

  • LNKファイルの実行を厳重に監視し、不審なファイルは開かない。
  • アプリケーションホワイトリスティングを導入し、信頼できるアプリケーションのみの実行を許可する。
  • PowerShellの実行ポリシーを制限し、スクリプトの無許可実行を防ぐ。
  • エンドポイント検出・対応(EDR)ソリューションを導入し、WScript.exeを介したスケジュールタスクの作成や、異常なGitHub APIアクセスパターンを警告するように設定する。
  • GitHubリポジトリの監視を強化し、悪用された場合は迅速なテイクダウンプロトコルを実行する。
  • ユーザーは、未承諾のファイルには細心の注意を払い、文書の入手元を独立したチャネルを通じて検証する習慣を身につける。

今回のキャンペーンは、北朝鮮の脅威アクターが持続的な運用能力を持ち、金融を標的とした攻撃ベクトルを維持しながら、デリバリーメカニズムを進化させる意欲があることを示しています。

IOCs(侵害指標)

この攻撃で確認された主な侵害指標(SHA256ハッシュ)は以下の通りです。

  • LNKファイル: 1553bfac012b20a39822c5f2ef3a7bd97f52bb94ae631ac1178003b7d42e7b7f (실전 트레이딩 핵심 비법서.pdf.lnk)
  • ダウンロードされたドキュメント: aaac6eadac6c325bfc69b561d75f7cfd979ac289de1cc4430c5cc9a9a655b279 (octobor.docx)
  • 最終ペイロード: 8de36cb635eb87c1aa0e8219f1d8bf2bb44cad75b58ef421de77dd1aae669bf3e (Stella.exe)

元記事: https://gbhackers.com/lnk-files/

投稿をさらに読み込む