攻撃概要
SEQRITE LabsのAPTチームは、ベトナムのIT部門および人事採用担当者を標的とした、洗練されたサイバー攻撃キャンペーン「ハノイ泥棒作戦」を特定しました。この攻撃は、2025年11月3日に初めて検出され、革新的な擬似ポリグロット型ペイロード技術を悪用し、マルウェアを正規の求職書類に偽装します。
巧妙な初期侵入経路
攻撃は、スピアフィッシングメールを通じて配布される「Le-Xuan-Son_CV.zip」という悪意のあるZIPファイルから始まります。このZIPファイルを解凍すると、被害者は以下の2つのファイルを目にします。
- ショートカットファイル(
CV.pdf.lnk) - 「offsec-certified-professional.png」と偽装された擬似ポリグロット型ペイロード
後者のファイルは、一見すると正規の履歴書を表示しつつ、裏で隠匿されたバッチスクリプトを密かに実行します。「Le Xuan Son」という名のハノイ出身ソフトウェア開発者の偽の履歴書が利用され、2021年のGitHubプロフィールが提示されますが、調査によりこのアカウントは攻撃のために作成されたものであることが判明しており、高度なソーシャルエンジニアリングが用いられています。
多段階感染チェーンの解明
この攻撃は3つの段階を経て展開されます。
第1段階:LNKファイルの悪用
被害者がLNKファイルを開くと起動します。このLNKファイルには、ftp.exeを悪用して擬似ポリグロット型ペイロードを実行するための特殊なコマンドラインパラメータが含まれています。これは、ftp.exeが感嘆符(!)プレフィックスを使ってローカルコマンドを呼び出す能力を悪用するもので、セキュリティ研究者には以前から知られていましたが、実際のキャンペーンで確認されることは稀でした。
第2段階:擬似ポリグロットの真の姿
擬似ポリグロット型ペイロードの真の性質が明らかになります。ファイルパーサーからはプレーンテキストまたはPDFとして認識されますが、ヘックス分析により、PDFの「マジックヘッダー」の前に悪意のあるスクリプトが埋め込まれていることが露呈します。このスクリプトは以下の不正行為を実行します。
DeviceCredentialDeployment.exeを悪用してコマンドプロンプトの活動を隠蔽。certutil.exeの名前を変更して検出を回避。- 最終ペイロードを含むBase64エンコードされたデータを抽出。
さらに、バッチスクリプトはポリグロットファイルを「CV-Nguyen-Van-A.pdf」に名前変更し、エクスプローラーで表示することで欺瞞を継続します。その後、デコードされたDLLファイル「MsCtfMonitor.dll」をC:\ProgramDataに配置し、System32からctfmon.exeを同じディレクトリにコピーすることで、DLL検索順序ハイジャックを利用して正規のライブラリの代わりに悪意のあるDLLをロードさせます。
最終ペイロード「LOTUSHARVEST」の脅威
このキャンペーンの最終的なペイロードは、SEQRITEが追跡している64ビットの情報窃取型DLLインプラント「LOTUSHARVEST」です(PDBパスでは「DEV-LOADER」と識別)。この洗練されたマルウェアは、複数の対分析技術を実装しています。これには、仮想環境検出のためのIsProcessorFeaturePresentチェック、デバッグツール特定のためのIsDebuggerPresent、分析者を混乱させコールスタックを破壊する偽の例外生成などが含まれます。
LOTUSHARVESTは主にGoogle ChromeとMicrosoft Edgeのブラウザ認証情報および閲覧履歴を標的とします。SQLiteの履歴データベースを開いて直近20件のURLとそのメタデータを抽出し、ログインデータデータベースにアクセスして最大5件の保存済み認証情報を取得します。パスワードはCryptUnprotectData APIを使用して復号されます。
データ窃取とC2通信
窃取されたデータは、WindowsのWinINet APIを介して攻撃者によって制御されるインフラ、具体的にはeol4hkm8mfoeevs.m.pipedream.netへ、ポート443経由で/serviceエンドポイントへのPOSTリクエストで送信されます。マルウェアは、被害者のコンピューター名とユーザー名を付加して、攻撃者のコマンド&コントロールサーバーで一意の識別エントリを作成します。
攻撃者の帰属と独自性
SEQRITEの研究者は、このキャンペーンを中国起源の脅威アクターに中程度の確信度で帰属させています。これは、2025年3月に同様にベトナムを標的とし、CVを装った誘引とDGA生成ドメインを使用した攻撃との戦術的重複があるためです。しかし、LOTUSHARVESTの窃取機能はPlugXのような典型的な中国のAPTツールとは異なるため、国家支援は未確認です。
組織への推奨事項
今回のキャンペーンは、採用プロセスを標的としたソーシャルエンジニアリング攻撃の高度化を示しています。ベトナムのITセクターの組織は、以下の対策を講じるべきです。
- メールフィルタリングの強化
- 従業員へのセキュリティ意識向上トレーニング
- DLLサイドローディング試行を検出するための行動監視
擬似ポリグロットファイルの使用は、サイバーセキュリティコミュニティ全体が注目すべき新たな回避技術として浮上しています。
脅威の痕跡 (Indicators of Compromise: IoCs)
| SHA-256ハッシュ | マルウェア種別 |
|---|---|
1beb8fb1b6283dc7fffedcc2f058836d895d92b2fb2c37d982714af648994fed |
ZIPファイル |
77373ee9869b492de0db2462efd5d3eff910b227e53d238fae16ad011826388a |
LNKファイル |
693ea9f0837c9e0c0413da6198b6316a6ca6dfd9f4d3db71664d2270a65bcf38 |
擬似ポリグロット型ペイロード(PDF、バッチ) |
48e18db10bf9fa0033affaed849f053bd20c59b32b71855d1cc72f613d0cac4b |
DLLファイル |