概要
「Operation Silk Lure」と名付けられた標的型サイバー諜報キャンペーンが、中国のFinTechおよび仮想通貨企業を狙って展開されています。この作戦は、WindowsのスケジュールタスクとDLLサイドローディングを悪用し、高度なバックドア「ValleyRAT」を配信するものです。攻撃者は、巧妙なスピアフィッシングメール、悪意のあるWindowsショートカット、そして永続的なタスクスケジューラメカニズムを組み合わせて、機密情報を窃取するための多段階マルウェアペイロードを展開しています。
攻撃の初期段階と感染経路
攻撃者は、中国企業のHRおよび技術採用チームに対し、求職者を装った非常に説得力のあるメールを送信します。これらのメールには、一見正規の履歴書PDFに見せかけた悪意のある.LNKショートカットが埋め込まれています。この履歴書は、李漢兵(Li Hanbing)というブロックチェーンと高頻度取引の専門知識を持つシニアフルスタックエンジニアのプロフィールを模しており、南中国農業大学の学士号や恵州・深圳のテクノロジー企業での職歴など、詳細な資格情報が記載され、受信者が添付ファイルを開くよう誘惑します。
被害者が.LNKファイルをクリックすると、ショートカットはPowerShellのワンライナーを実行し、米国のpan.tenire.comに接続します。これにより、以下の主要なアーティファクトがダウンロードされます。
- keytool.exe
- CreateHiddenTask.vbs
- jli.dll
- デコイPDF
これらのファイルは%APPDATA%\Securityディレクトリにドロップされ、攻撃の次の段階が開始されます。
永続化とDLLサイドローディング
永続化は、VBScript(CreateHiddenTask.vbs)を通じて実現されます。このスクリプトはCOMオブジェクトをプログラム的に使用し、「Security」という名前の日次スケジュールタスクを登録します。このタスクは毎日午前8時にkeytool.exeを起動するように設定されており、Microsoft署名プロセスとして偽装されています。タスク登録後、スクリプトはフォレンジック痕跡を消去するために自己削除します。
実行時、keytool.exeはjli.dllをサイドロードし、自身のPEセクションから隠されたRC4暗号化ペイロードを読み取ります。S-boxは固定キー「123cba」でシードされ、ペイロードをメモリ内で復号し、ディスクに書き込むことなく直接実行します。ローダー内部では、アナリストは8バイトのマーカー(1C3B7EFF1C3B7EFF)を特定する組み込みのRC4ルーチンを発見し、暗号化されたシェルコードを抽出しています。
ValleyRATの機能
第二段階のペイロードであるValleyRATは、広範な偵察を開始し、以下のデータを収集します。
- CPU詳細
- ユーザー名
- 画面解像度
- クリップボードの内容
- MACアドレスやオープンポートを含むネットワーク情報
また、VMwareやVirtualBoxを検出してサンドボックス環境を回避するためにレジストリキーをプローブし、WMI経由でROOT\SecurityCenter2をクエリしてインストールされているアンチウイルス製品を特定し、検出したものをアンインストールします。COMベースのタスク終了ルーチンは、360SafeやKingsoftなどの中国のAVベンダーに関連するTCP制御ブロックを削除することで、セキュリティソフトウェアのネットワーク接続を強制的に中断させます。
ValleyRATのデータ流出機能には、スクリーンショット、キーロギング、ファイル転送が含まれます。コマンドには、プラグインのインストール、フィルター管理、セッション処理、自己アンインストールトリガーなどがあります。機密データはエンコードされ、C2インフラストラクチャに送信されます。このC2インフラストラクチャは、AS133199(SonderCloud Limited、香港)上の.work TLDクラスターに20以上のドメインにまたがっており、求人ポータルを模倣して運用回復力を高めるように設計されています。
影響と推奨事項
Operation Silk Lureは、中国に特化したソーシャルエンジニアリングと高度な永続化メカニズムを悪用して、標的企業に侵入します。このキャンペーンの名称は、「Silk」(中国の足跡)、「Lure」(履歴書デコイ)、「Scheduled Tasks」(永続化ベクトル)、「DLL Side-Loading」(ローダー技術)と、観測されたアーティファクトと挙動に直接対応しています。
組織は、以下の指標に注意して脅威を検出する必要があります。
pan.tenire.comへのDNSクエリ- 「Security」という名前のスケジュールタスク
- 異常なPowerShell実行フラグ(
-NoP -ep Bypass) keytool.exeが関与するImageLoadイベント
特定されたC2 IP範囲へのアクセスをブロックし、未署名のVBScriptファイルの実行を制限し、厳格なアプリケーションホワイトリスティングポリシーを実装することで、この多段階の脅威を阻止することができます。予期せぬスケジュールタスクや異常なプロセス起動パターンの継続的な監視は、同様のキャンペーンから防御するために不可欠です。