“`json
{
“title”: “中国のAPTグループ「Autumn Dragon」、DLLサイドローディングを悪用し政府・メディア機関を侵害”,
“content”: “
概要
中国を拠点とする高度な持続的脅威(APT)グループ「Autumn Dragon」が、東南アジアの政府およびメディア機関を標的とした持続的なスパイ活動を展開していることが判明しました。同グループは、DLLサイドローディング技術を主要な攻撃ベクターとして利用し、2025年を通じて活動を活発化させていると報じられています。
巧妙な4段階の攻撃チェーン
Autumn Dragonのキャンペーンは、以下の4段階からなる巧妙に組織された攻撃チェーンを特徴としています。
- 第1段階:初期侵入
スピアフィッシングメールを通じて、武器化されたRARアーカイブが配布されます。この初期ドロッパーは、WinRARの重大なパス遍路の脆弱性「CVE-2025-8088」を悪用し、「Windows Defender Definition Update.cmd」と偽装したバッチスクリプトを自動的に展開します。これにより、ユーザーがファイルを解凍するだけで、明示的な操作なしに永続的なアクセスが確立されます。 - 第2段階:次ステージのダウンロードとC2確立
初期侵入後、不正なバッチファイルが次のステージのマルウェアをダウンロードします。脅威アクターは、Telegramをコマンド&コントロール(C2)チャネルとして利用する軽量なバックドアをデプロイします。このバックドアは、正規のOBSブラウザ実行ファイルと、改変された「libcef.dll」の組み合わせで構成されており、DLLサイドローディング技術(MITRE T1574)を悪用しています。 - 第3段階:偵察とデータ窃取
悪意のある「libcef.dll」はTelegramボットAPIと通信し、シェルコマンドの実行、スクリーンショットの取得、ファイルのアップロードといった主要コマンドを受信します。攻撃者は、systeminfoコマンドでシステム仕様を、tasklistコマンドでインストールされているセキュリティ製品を、PowerShellコマンドでWindows Defenderの脅威検出ステータスを確認するなど、積極的な偵察活動を行います。この偵察データは、攻撃を続行するかどうかを判断するために利用され、高価値な標的にリソースを集中させていることを示唆しています。「libcef.dll」はC++で記述され、Boostおよびtgbot3ライブラリを使用して脅威アクターと通信します。 - 第4段階:高度な永続化と機密通信
その後の攻撃ステージでは、Adobe Creative Cloud、Opera GX、Microsoft Edgeなど、他の正規アプリケーションを悪用したDLLサイドローディングがさらに展開されます。これらのキャンペーンでは、2025年、特に第3四半期と第4四半期にわたる明確なコード再利用パターンとコンパイルタイムスタンプが見られ、単一の開発チームが複数の亜種に関与していることが示唆されています。最終的なバックドアは、HTTPS経由でC2サーバーと通信し、XOR暗号化を使用することで、シェルコード実行、DLLロード、ファイル操作といった高度な機能をサポートしています。
標的と運用セキュリティへの対策
標的分析からは、東南アジアの政府機関とメディア組織への集中的な攻撃と、地理的特異性への強い重点が明らかになっています。攻撃者は、Cloudflare保護と地理制限、カスタムUser-Agent要件、デコイウェブサイトを導入することで、運用セキュリティに対する意識と、セキュリティ研究者による分析を阻止する意図を示しています。また、キャンペーン指標が特定の国と結びついていることから、標的に合わせたペイロード配信と、異なる標的に対する個別の運用トラックが存在することが示唆されます。
侵害の痕跡(IoC)
組織はDLLサイドローディング活動、異常なDropboxおよび正規クラウドストレージのアクセスパターン、特定されたコマンド&コントロールインフラへのネットワークトラフィックを監視する必要があります。以下は、本キャンペーンに関連する主要な侵害の痕跡です。
- Initial dropper (ハッシュ):
5b64786ed92545eeac013be9456e1ff03d95073910742e4,5ff6b88a86e91901b - Batch script (ハッシュ):
e409736eb77a6799d88c8208eb5e58ea0dcb2c016479153f9e2c4c3c372e3ff6 - Next stage dropper (ハッシュ):
50855f0e3c7b28cbeac8ae54d9a8866ed5cb21b5335078a040920d5f9e386ddb - 2nd stage implant (ハッシュ):
a3805b24b66646c0cf7ca9abad502fe15b33b53e56a04489cfb64a238616a7bf - Staging folder (パス):
C:\Users\Public\Documents\Microsoft\winupdate_v - 3rd stage loader (ハッシュ):
5d0d00f5d21f360b88d1622c5cafd42948eedf1119b4ce8026113ee394ad8848,843fca1cf30c74edd96e7320576db5a39ebf8d0a708bde8ccfb7c12e45a7938c - 4th stage encrypted payload (ハッシュ):
2044a0831ce940fc247efb8ada3e60d61382429167fb3a220f277037a0dde438 - 4th stage decrypted payload (ハッシュ):
c691f9de944900566b5930f219a55afcfc61eaf4ff40a4f476dd98a5be24b23c - C2サーバー (ドメイン):
hxxps[:]//public.megadatacloud[.]com - C2サーバー (IP):
hxxps[:]//104.234.37[.]45
結論
直接的な帰属の特定は依然として困難ですが、中間から高度な運用能力、中国の周辺地域に持続的に焦点を当てた地理的標的、および既知のAPTグループとの戦術的類似性から、国家レベルの関与が強く示唆されます。このキャンペーンは、東南アジアの政府およびメディア機関にとって現在進行中の重大な脅威であり、早急な警戒と防御措置が求められます。
”
}
“`