はじめに:巧妙な「TamperedChef」マルウェアの脅威
「TamperedChef」と名付けられた高度なマルウェアキャンペーンが、正規のPDFエディターアプリケーションを装い、ヨーロッパの組織を標的にしています。WithSecureのStrategic Threat Intelligence & Research Group (STINGR)による新たな調査によると、このキャンペーンは、説得力のある広告戦略と完全に機能するデコイアプリケーションを悪用し、機密性の高い認証情報を収集し、永続的なバックドアアクセスを確立しています。
この攻撃は、無料のPDF編集ソフトウェアを検索するユーザーが、悪意のある広告に誘導され、攻撃者が管理するダウンロードサイトにリダイレクトされることから始まりました。脅威アクターは、Microsoft Installer (MSI) パッケージを通じてペイロードを配布し、エンドユーザーライセンス契約 (EULA) ダイアログを表示することで、正規のアプリケーションであるかのように見せかけ、自動セキュリティ検出システムを回避しました。このインストールプロセスは管理者権限を必要としないため、ユーザー権限が制限されている企業環境で特に効果的でした。
技術的アーキテクチャとペイロードの仕組み
マルウェアはユーザープロファイルディレクトリにインストールされると、自動実行レジストリエントリを通じて永続性を確立し、システムログオン時にアプリケーションが自動的に起動するようにしました。
技術的には、「AppSuite PDF Editor」はNode.jsで構築され、Electronアプリケーションとしてパッケージ化されており、フル機能のChromiumベースブラウザとして動作します。悪意のある機能は主に2つのコンポーネントに存在しました。
- pdfeditor.js:ユーザーインターフェースと悪意のある活動の両方を担う、高度に難読化されたJavaScriptファイル。
- Utilityaddon.node:レジストリエントリとスケジュールされたタスクを操作するために設計されたカスタムNode.jsモジュール。
このアプリケーションは、約2ヶ月間、pdf-tool[.]appsuites[.]aiでホストされているウェブコンテンツを通じて正規のPDF編集機能を提供し、期待通りに動作しました。この長い休眠期間は、マルウェアが検出を回避し、ユーザーとセキュリティシステムからの信頼を確立するのに役立ちました。しかし、2025年8月21日に埋め込まれたペイロードがアクティブ化され、感染したシステムからブラウザに保存された認証情報を体系的に収集し始めました。このアクティベーションはキャンペーンの真の意図を露呈させ、脅威アクターは悪意のあるJavaScriptコードを削除した「クリーンな」バージョン(1.0.40および1.0.41)を迅速にリリースしました。しかし、これらの「クリーンな」バージョンも攻撃者が管理するインフラに接続し続け、潜在的なバックドア機能を維持していました。
キャンペーンの進化:S3-Forgeの登場
調査により、同時に構築されたものの市場需要の低さから放棄されたと見られる「AppSuite Print」という類似のデコイアプリケーションの存在が明らかになりました。さらに懸念されるのは、このキャンペーンの後継として特定された「S3-Forge」の出現です。この新しい亜種は、PDFエディターのコンセプトを直接引き継ぎながら、Amazon Web Servicesのクラウドストレージ参照を通じてソフトウェア開発者を標的にしている可能性があります。
S3-Forgeは、Squirrelフレームワークを介して配布されるNuGetパッケージを利用しており、新しい配布方法を試していることを示しています。このアプリケーションは、悪意のあるコンポーネントをapp.asarファイルにバンドルすることで検出をより困難にしつつ、悪意のある機能を有効にする--cmコマンドライン引数を維持しています。
影響と推奨事項
TamperedChefに影響を受けた組織は、ブラウザに保存された認証情報が完全に侵害されたと想定すべきです。このキャンペーンの成功は、正規のコード署名証明書の取得やターゲット広告キャンペーンの実行など、高度な計画性を示しています。重要なセキュリティ対策は以下の通りです。
- 影響を受けたすべてのユーザーの認証情報を直ちにローテーションする。
- すべての企業システムでセッションを無効化する。
- ビジネス環境で承認されたソフトウェアポリシーを強制する。
- 可能な限りブラウザのパスワード保存機能を無効化する。
- 厳格なポリシー管理を備えたエンタープライズパスワードマネージャーを導入する。
TamperedChefキャンペーンは、正規のアプリケーション機能と忍耐強く長期的な侵害戦略を組み合わせた、ソーシャルエンジニアリング戦術の懸念すべき進化を表しています。脅威アクターがこれらの洗練された攻撃方法を洗練し続ける中、組織は同様の欺瞞的なソフトウェア配布キャンペーンに対して警戒を怠らない必要があります。