サイバーニュース.jp

世界のサイバーなニュースを配信

Winos 4.0マルウェア、政府機関を装ったPDFでWindowsマシンを感染

カテゴリ:

, , , , , , , , ,

Winos 4.0マルウェア、政府機関を装ったPDFでWindowsマシンを感染

セキュリティ研究者たちは、Winos 4.0マルウェアを拡散するために、武器化されたPDFファイルを利用する深刻なマルウェアキャンペーンを追跡しています。攻撃者は政府機関になりすまし、悪意のある文書を開かせることでMicrosoft Windowsマシンを感染させています。

2025年初頭に初めて観測されたこのキャンペーンは、台湾から日本、マレーシアへと活動範囲を拡大し、検出を回避するための戦術を進化させています。

巧妙なフィッシングと地理的拡大

攻撃は、財務省などの政府機関からの公式文書に見せかけたPDFを含むフィッシングメールから始まります。これらのPDFには悪意のあるリンクが埋め込まれており、クリックするとマルウェアのダウンロードが開始されます。

当初、攻撃者はペイロードのホスティングにTencent Cloudストレージを使用していましたが、後にカスタムドメインに移行しました。FortiGuard Labsの研究者たちは、クラウドストレージのURLに含まれる固有のIDを分析することで、様々な攻撃を関連付け、異なる地域でのキャンペーンの背後に同じ脅威アクターが存在することを明らかにしました。

例えば、台湾のユーザーを標的としたあるPDFは、被害者を日本語のページにリダイレクトしてマルウェアペイロードをダウンロードさせ、台湾と日本の両国にわたる攻撃の関連性を示しています。PDFは政府文書を模倣することで信頼性を獲得し、被害者をだまして従わせます。悪意のあるリンクは、埋め込みリソースとして偽装されていることが多く、受信者による検出を困難にしています。

高度な回避技術とHoldingHandsへの移行

脅威アクターは、セキュリティソフトウェアや分析を回避するために、その手法を継続的に改良してきました。最近の攻撃では、キャンペーンはWinos 4.0からHoldingHandsと呼ばれる新しいマルウェアファミリーに切り替わっています。

このマルウェアは、正当に見える実行ファイルとDLLサイドローディングを使用する複雑な多段階感染プロセスを通じて配信され、防御を迂回します。マルウェアの最新の亜種における最も重要な変更点の1つは、Windowsタスクスケジューラを使用してそのコンポーネントを実行することです。タスクスケジューラサービスを終了させてから再起動させることで、マルウェアは間接的にプロセスを起動でき、従来の監視による動作検出をはるかに困難にしています。このステルス性の高いトリガーメカニズムにより、ペイロードは昇格された権限で実行され、フォレンジックの痕跡を少なくすることができます。

  • HoldingHandsは主要なペイロードとしてWinos 4.0に取って代わり、レジストリ更新を介したインフラストラクチャの移行を追加しています。
  • 多段階の実行フローには、DLLサイドローディングと間接的なプロセス起動が含まれます。
  • Windowsタスクスケジューラの使用は、タスクが隠蔽され自動的に再起動される可能性があるため、動作ベースの検出を著しく複雑にします。
  • マルウェアはアンチウイルス製品のチェックを行い、保護機能が存在しない場合にのみ実行されるため、感染の成功率が高まります。

持続的かつ進化する脅威

HoldingHandsペイロード自体は情報窃取のために設計されており、将来の攻撃を容易にするために使用される可能性があります。これは、Norton、Avast、Kasperskyなどのアンチウイルス製品の存在をチェックする機能を持ち、特定のセキュリティプロセスが検出された場合は自己終了します。

共有されたインフラストラクチャ、コードパターン、運用戦術を関連付けることで、研究者たちは、一見孤立した事件を、複数の国にまたがる単一の協調的なキャンペーンとして結びつけることができました。このグループのマルウェアと配信メカニズムを進化させる能力は、アジア全体の組織に対する持続的かつ適応性の高い脅威であることを浮き彫りにしています。盗まれた情報は、より標的を絞った、より破壊的なサイバー攻撃に利用される可能性があるため、重大なリスクをもたらします。

侵害の痕跡 (IoCs)

  • ドメイン: zxp0010w.vip, gjqygs.cn, zcqiyess.vip, jpjpz1.cc, jppjp.vip, jpjpz1.top
  • IPアドレス: 206.238.199.22, 206.238.221.244, 154.91.64.45, 156.251.17.12, 206.238.221.182, 38.60.203.110
  • SHA256ハッシュ: c138ff7d0b46a657c3a327f4eb266866957b4117c0507507ba81aaeb42cdefa9, 03e1cdca2a9e08efa8448e20b50dc63fdbea0e850de25c3a8e04b03e743b983d, 2b1719108ec52e5dea20169a225b7d383ad450195a5e6274315c79874f448caa, dc45981ff705b641434ff959de5f8d4c12341eaeda42d278bd4e46628df94ac5, 0db506d018413268e441a34e6e134c9f5a33ceea338fc323d231de966401bb2c, 031c916b599e17d8cfa13089bddafc2436be8522f0c9e479c7d76ba3010bbd18, c6095912671a201dad86d101e4fe619319cc22b10b4e8d74c3cd655b2175364c, 804dc39c1f928964a5c02d129da72c836accf19b8f6d8dc69fc853ce5f65b4f3, 1c4bc67ae4af505f58bd11399d45e196fc17cc5dd32ad1d8e6836832d59df6e6, fb9c9ed91fc70f862876bd77314d3b2275069ca7c4db045e5972e726a3e8e04c, 8d25da6459c427ad658ff400e1184084db1789a7abff9b70ca85cf57f4320283

元記事: https://gbhackers.com/winos-4-0-malware-uses-weaponized-pdfs/

投稿をさらに読み込む