概要
WindowsのスケジュールタスクとDLLサイドローディングを悪用し、高度なValleyRATバックドアを展開する標的型サイバースパイ活動が確認されました。この作戦は、中国のFinTechおよび仮想通貨企業から機密情報を収集するために設計された多段階マルウェアペイロードを配信するため、巧妙なスピアフィッシングメール、悪意のあるWindowsショートカット、および永続的なタスクスケジューラメカニズムを中心に展開されています。
スピアフィッシングと初期感染経路
『Operation Silk Lure』の攻撃者は、求職者を装った非常に説得力のあるメールを作成し、中国企業のHRおよび技術採用チームに送信します。各メッセージには、一見正当な履歴書PDFに埋め込まれた悪意のある.LNKショートカットが含まれています。Seqrite Labの研究者によると、この作戦のC2サーバーは206.119.175.16にあり、ValleyRATバックドアを起動します。おとりの履歴書は、ブロックチェーンと高頻度取引の専門知識を持つシニアフルスタックエンジニア、李漢兵(Li Hanbing)の実際のプロフィールを模倣するために簡体字中国語で作成されています。華南農業大学の学士号や恵州および深圳のテクノロジー企業での職歴といった詳細な経歴は、信頼性を高め、受信者が添付ファイルを開くように誘います。
感染経路は以下の通りです。
- 被害者が.LNKファイルをクリックすると、ショートカットはPowerShellのワンライナーを実行します。
- このPowerShellは米国のpan.tenire.comに接続し、keytool.exe、CreateHiddenTask.vbs、jli.dll、およびおとりのPDFを含む主要なアーティファクトをダウンロードします。
- 初期スクリプトはこれらのファイルを%APPDATA%\Securityディレクトリにドロップし、攻撃の次の段階を開始します。
永続化メカニズム:スケジュールタスクとDLLサイドローディング
永続化は、COMオブジェクトをプログラム的に使用して「Security」という名前の毎日実行されるスケジュールタスクを登録するVBScript(CreateHiddenTask.vbs)によって実現されます。サンプルLNKを安全な環境で実行したところ、セカンドステージのペイロードがC:\Users\<user>\AppData\Roaming\Securityにダウンロードされ、実行されました。このタスクは毎日午前8時にkeytool.exeを起動し、Microsoft署名プロセスに見せかけて偽装します。タスク登録後、スクリプトはフォレンジック痕跡を消去するために自己削除します。
実行時、keytool.exeはjli.dllをサイドロードし、自身のPEセクションから隠されたRC4暗号化ペイロードを読み取ります。S-boxは固定キー「123cba」でシードされ、ペイロードをメモリ内で復号し、ディスクに書き込むことなく直接実行します。ローダー内部では、アナリストは組み込みのRC4ルーチンが8バイトのマーカー(1C3B7EFF1C3B7EFF)を特定して暗号化されたシェルコードを抽出していることを確認しました。
ValleyRATの機能と回避技術
セカンドステージのペイロードであるValleyRATは、広範な偵察を開始し、CPU詳細、ユーザー名、画面解像度、クリップボードの内容、MACアドレスやオープンポートを含むネットワーク情報などのデータを収集します。サンドボックス環境を回避するためにVMwareやVirtualBoxを検出するレジストリキーを調査し、WMI経由でROOT\SecurityCenter2をクエリしてインストールされているアンチウイルス製品を特定し、見つかったものをアンインストールします。
COMベースのタスク終了ルーチンは、360SafeやKingsoftなどの中国のAVベンダーに関連するTCP制御ブロックを削除することで、セキュリティソフトウェアのネットワーク接続を強制的に切断します。ValleyRATのデータ流出機能には、スクリーンショット、キーロギング、ファイル転送が含まれます。コマンドには、プラグインのインストール、フィルター管理、セッション処理、自己アンインストールトリガーなどがあります。機密データはエンコードされ、C2インフラストラクチャに送信されます。このC2インフラストラクチャは、AS133199(SonderCloud Limited、香港)上の.work TLDクラスターの下に20以上のドメインにまたがっており、求人ポータルを模倣し、運用上の回復力を強化するように設計されています。
影響と推奨事項
『Operation Silk Lure』は、中国に特化したソーシャルエンジニアリングと高度な永続化メカニズムを悪用して、標的企業に侵入します。このキャンペーンの名称は、中国での活動を意味する「Silk」、履歴書のおとりを意味する「Lure」、永続化ベクトルとしての「Scheduled Tasks」、ローダー技術としての「DLL Side-Loading」というように、観測されたアーティファクトと挙動に直接対応しています。
このマルウェアは、CPU情報、ユーザー名、画面解像度、ポート番号、稼働時間、NIC詳細、MACアドレス、ロケール、VMチェック、レジストリ値、その他の識別子を収集します。
組織は、以下の侵害の痕跡(IoC)に注意を払う必要があります。
- pan.tenire.comへのDNSクエリ
- 「Security」という名前のスケジュールタスク
- 異常なPowerShell実行フラグ(-NoP -ep Bypass)
- keytool.exeが関与するImageLoadイベント
特定されたC2 IP範囲へのアクセスをブロックし、署名されていないVBScriptファイルの実行を制限し、厳格なアプリケーションホワイトリスティングポリシーを実装することは、この多段階の脅威を阻止するのに役立ちます。予期せぬスケジュールタスクや異常なプロセス起動パターンを継続的に監視することは、同様のキャンペーンから防御するために不可欠です。