概要
Silver Fox APT は、台湾を対象にした新たな標的型攻撃キャンペーンを展開しています。このキャンペーンでは、DLL サイドローディングと Bring Your Own Vulnerable Driver (BYOVD) 技術を使用して Winos 4.0(ValleyRat)を配布し、セキュリティツールの機能停止を図っています。
攻撃手法
これらのキャンペーンは、税金や電子インボイスに関連する偽装メールとダウンロードページを使用して実行されます。ユーザーが偽造された税関連の通知やインストーラーを開くことで、悪意のあるアーカイブや埋め込まれたリンクをクリックさせます。
初期キャンペーン
最初のキャンペーンでは、被害者は「taxIs_RX3001.rar」という名前のRAR アーカイブを受け取ります。このアーカイブには、悪意のあるLNKショートカットと偽装されたドキュメントが含まれています。
DLL サイドローディング
第2のキャンペーンでは、合法的な台湾アプリケーションを税関連または電子インボイステーマのアーカイブに組み込むことで DLL サイドローディングを使用します。これらの偽装リンクや URL を通じてユーザーが悪意のあるDLLを実行させます。
Winos 4.0 の展開
攻撃者は、脆弱な wsftprm.sys ドライバをロードすることで Winos 4.0 を展開します。このドライバは低特権コードが Protected Process Light (PPL) プロセスを終了できるように設計されており、これにより Microsoft Defender セキュリティエージェントなどが停止されます。
攻撃の詳細
- C2 アドレス: 47[.]76[.]86[.]151
- ドメイン: bqdrzbyq[.]cn, taxfnat[.]tw, njhwuyklw[.]com, twtaxgo[.]cn, taxhub[.]tw, taukeny[.]com, taxpro[.]tw, lmaxjuyh[.]cn, tkooyvff[.]cn, etaxtw[.]cn
- ファイル: Setup64.exe, wsftprm.sys, EXPAND
防御策
このキャンペーンは、DLL サイドローディングの監視と脆弱なドライバのブロックを強調しています。また、非検証ソースからの税関連またはインボイスに関連するアーカイブやリンクを高リスクとして扱うことが重要です。