概要
中国の経済動機を持つAPT-Q-27(GoldenEyeDog)と関連があるとされるマルウェア攻撃が、Web3サポートチームを標的としています。この攻撃はライブチャットワークフローを利用して、マルウェアの配布を行っています。
攻撃の手口
攻撃者はサポートチャットで偽のスクリーンショットリンクを共有し、そのリンクは「Google」風のURLと画像ファイル名を持っています。このリンクを開くと、実際にはPIFプログラムが隠されているため、Windowsシステムでは通常無害に見えます。
マルウェア展開
最初のステージのマルウェアは、合法だが誤用されたEV証明書で署名されており、AWS S3「デッドドロップ」マニフェスト(例:y.txtまたはA.txt)にアクセスします。このマニフェストには、2段階目のペイロードURLがリストされています。
ステージングとサイドローディング
.NETローダーは強力なオブファスケーションを施されており、実行時にすべての意味のある文字列がカスタムスキームでデクリプトされます。さらに、ダブルBase64エンコードによって一部のキー値が隠されています。
最終的なマルウェア
最終ステージでは、37のハードコーディングされたC2サーバーと通信します。このインプラントは忍び寄る動作を特徴としており、ユーザー権限チェックを行い、ユーザーアカウント制御(UAC)レジストリキーを操作してポップアップを抑制します。
検出と防御
エンドポイントでは、「@27」タグが含まれるAppDataパスの作成、”SystemUpdats”名前のRunレジストリエントリ、”Windows Eventn”という新しいサービス、およびUAC設定(EnableLUA, ConsentPromptBehaviorAdmin, PromptOnSecureDesktop)が0に設定されることを監視します。
インディケーターオブコムプローション (IOC)
- Photo2025060268jpg.exe (WindowsForApp.exe): ローダーのバリエーション、初期の誘導として偽画像として使用。
- Feedback.exe: .NETドロッパ/ローダーのバリエーション。
- updat.exe: 本物の署名付きYYプラットフォームバイナリ、サイドローディング車両。
- vcruntime140.dll: 悪意のあるVC++ランタイム、ステージ1のサイドロード。
- msvcp140.dll: 悪意のあるVC++ランタイム、ステージ2のサイドロード。
- crashreport.dll: yyext.logシェルコードをデクリプトして実行します。
- yyext.log: エンクRYPTED x86シェルコード、最終DLLを展開します。