概要
司法文書をテーマにしたキャンペーンを通じて、Hijackloaderマルウェアが配布され、その後PureHVNCリモートアクセス型トロイの木馬(RAT)が展開される新たな攻撃が確認されました。この組み合わせがラテンアメリカのスペイン語圏のユーザーを標的とした事例は、今回が初めての観測となります。このキャンペーンは、同地域で活動する脅威アクターにとって、戦術的な大きな転換点を示しています。
以前はRemcosRATの配信に利用されていたHijackloaderが、今回はアンダーグラウンドフォーラムやTelegramチャンネルで活発に販売されているマルウェア・アズ・ア・サービス(MaaS)ツールであるPureHVNCを配布するために再利用されています。IBM X-Forceは、2025年8月から10月にかけて、コロンビアの司法長官事務所を装ったメールを通じて、コロンビアのユーザーを標的とした巧妙なキャンペーンを特定しました。
攻撃の手口
脅威アクターは、コロンビアの司法長官事務所からのものと偽って、元従業員によって訴訟が提起され、労働裁判所で処理が保留されていると通知する、説得力のあるメールを作成しました。これらのメールには、Google Driveで開かれるように設計されたSVGファイルが添付されており、被害者に正当性を感じさせつつ、悪意のあるペイロードの性質を隠蔽しています。
被害者がドキュメントのプレビューをクリックするか、Google Drive経由でファイルをダウンロードしようとすると、パスワードで保護された実行可能ファイルを含むZIPアーカイブを受け取ります。ダウンロード完了ページにはパスワードが目立つように表示されており、被害者に悪意のあるバイナリを解凍して実行するよう促します。このソーシャルエンジニアリングの手法は、司法手続きや公式なコミュニケーションに対する信頼を悪用しており、特に法的文書が即座の注意と遵守を求める高コンテキスト文化において効果的な心理的戦術です。
多段階の感染チェーン
感染チェーンは、Windowsのライブラリ読み込みメカニズムを悪用するDLLサイドローディングから始まります。Hijackloaderは、正当なjavaw.exeファイルを司法テーマの名前(「02 BOLETA FISCAL.exe」)に変更し、悪意のあるJLI.dllを同じディレクトリに配置します。名前が変更された実行可能ファイルが起動すると、Windowsはシステムパスではなくローカルディレクトリから変更されたDLLを読み込み、マルウェア実行の初期足がかりを確立します。
その後の段階では、洗練されたローダー機能が関与します。マルウェアは、一時ファイルに保存された暗号化された設定を復号し、仮想マシン検出やデバッガー識別を含むアンチ分析チェックを実行し、正当なシステムプロセスにPureHVNCをロードするためのコードインジェクション技術を実装します。マルウェアは、API呼び出しの出所を隠蔽するためのスタックスプーフィング、アンチウイルスソフトウェアによってインストールされたセキュリティ監視フックの解除、分析環境を検出するために命令の遅延を測定するタイミングベースのアンチデバッグメカニズムなど、複数の回避戦略を採用しています。その後、シェルコードはマルウェアの設定で指定されたDLLであるvssapi.dllにロードされます。
Hijackloaderのモジュラーアーキテクチャは、設定フラグを通じてカスタマイズ可能な動作を可能にします。マルウェアは、スケジュールされたタスクの作成やスタートアップフォルダのショートカットなど、複数の永続化メカニズムをサポートし、システム再起動後も継続的なアクセスを保証します。そのアンチ仮想化ルーチンは、物理メモリ、プロセッサ数、ハイパーバイザーの署名を照会することでサンドボックス環境を検出し、リソースが不足している場合は自動的に終了します。マルウェアは、正当な特権昇格方法とCOMインターフェースの悪用の両方を通じてUACバイパス機能を組み込んでおり、標準ユーザー権限で実行されている場合に横方向の移動と特権昇格を可能にします。そのインジェクション方法は、設定パラメータに基づいて異なり、プロセスホローイング、スレッドコンテキストハイジャック、NTFSトランザクションファイル技術をサポートし、メモリベースの検出システムを回避しながらペイロードを実行します。
脅威の拡大
X-Forceの分析は、脅威アクターがラテンアメリカ地域を標的とするために、確立された配信メカニズムと新たなペイロードツールキットを組み合わせる傾向が強まっていることを示しています。市販されているRATであるPureHVNCの使用は、よりアクセスしやすいマルウェア・アズ・ア・サービスへの移行、または確立されたHijackloaderオペレーターとRAT展開サービスを提供する犯罪組織との間の協力のいずれかを示唆しています。
対策
コロンビアおよびラテンアメリカ全域の組織は、以下の対策を講じる必要があります。
- 高度なメールフィルタリングを実装する。
- クラウドストレージサービスでのSVGプレビュー機能を無効にする。
- DLLサイドローディングやプロセスインジェクション技術を検出できる行動分析ツールを導入する。
また、公式なコミュニケーションを直接情報源に確認するよう強調するユーザー意識向上トレーニングは、司法および政府機関を標的としたソーシャルエンジニアリング攻撃を軽減するために依然として重要です。
侵害の痕跡 (Indicators of Compromise)
- Email Sender: troquelesmyj[@]gmail.com
- C2 Domains: nuevos777[.]duckdns[.]org, 7octubredc[.]duckdns[.]org, dckis13[.]duckdns[.]org, dckis7[.]duckdns[.]org, enviopago[.]mysynology[.]net, maximo26[.]duckdns[.]org, sofiavergara[.]duckdns[.]org
- SVG Host URLs: hxxps[:]//drive[.]google[.]com/file/d/1haApB_GMwZb83nw1YPdIDTLMtksRjkh/view?pli=1, hxxps[:]//drive[.]google[.]com/file/d/1wzunPhL33jq_ZQug6k03hgxi4Eu57VfN/view?usp=sharing
- SHA256 Hashes:
- ZIP: e7120d45ee357f30cb602c0d93ed8d366f4b11c251c2a3cd4753c5508c3b15e5
- RAR: 7e64102405459192813541448c8fbadc481997a2065f26c848f1e3594ca404c9
- Hijackloader: 14becb3a9663128543i1868d09611bd30a2b64c655dfb407a727a7f2d0fb8b7e, 57c49cff3e71bc75641c78a5a728509007a18032510f607c042053c9d280511, 7c3d9ad3f1bd890e3552dc67093e161395d4e1fab79ec745220af1e19a279722, ce42377d3d26853fd1718f69341c0631208138490decc8e71a5622df5e9e1f59, a0e4979b4e4a706286438d480e21b0d92cc7bd40c1c3ea5b9872089aaec0124, 6d93a486e077858b75eb814e9a7bda181189d5833adce7cec75775cfda03f514, bdca9849d7263d508b7ed4dbbf86bd628932b117b45933cb28a7e78171d05cdd, 1ae61edf35127264d329b7c0e2bddb7077e34cc5f9417de86ab6d2d65bad4b4f, 2ec31a8a36d73fa8354a7ac039506dbe12638a0dc1b900f57620b8d53ae987f, 776bbaa44c7788e0ccd5945d583de9473b6246c44906692cb0a52e6329cb213a, 9e9997b54da0c633ffcf0a4fb94e67b482cf7a89522d1b254778d0c6c22c70ee, b2f733b67f1ef06d9e5ce76d3cc848f6e7e3ec2d0c363c765175c6cf85f979b, c93e70d20ba2948a6a8a013df68e5c4d14d59e5f549417d1a76833bd1c8efd22, d550a2a327394148c0c3d05df2fe0156783fc313b4038e454f9aa2cb2f0f2090, e668ca17fcdfa818aac35f12064d10a0288d7d9c6b688966b695125b760567d6, fe6d0ee45a70359008b2916e5116c411a955978b5694cc457683ab7b26590e47, 977f2f18ff13c93406c5702f83c04a9412760e02028aefc7c1cb7d6f2797a9b5, 768ca38878c5bb15650343ce49292315a9834eaf62fad14422d52510c3787228, 47245b7d2d8cb6b92308deb80399e0273193d5bca39da85a6b2a87a109d18d85, 4484b0ac51536890301a0e6573b962e069e31abc4c0c6f0f6fc1bf66bf588a93, 0113d9f3d93069a29458b3b4c33610aae03961014df60a9e859f3104086d886a, 22d474e729d600dcd84ce139f6208ce3e3390693afa7b52b0615174fca6d0fe2, 2cbfc482e27a2240a48d2fb66f740ff0f08598f83ae643a507c6f12a865dc28, 96ee786c5b6167c0f0f770efbace25e97d61e127ef7f58a879b6cf4b57e202c3, 33d0c63777882c9ec514be062612a56fdb1f291fcb6676c49480d3cd4501c508
- PureHVNC: afecefa6d9bd1e6d1c92144209eda320e1fe0f196ffa8e8bc114e7d3a25503f6, 85641c8fb94e8e4c5202152dcbb2bb26646529290d984988ecb72e18d63c9bc5, 1bf3a1cf9bc7eded0b8994d44cf2b801bf12bc72dc23fb337ddd3a64ac235782