サイバーニュース.jp

世界のサイバーなニュースを配信

脅威アクターがSEOポイズニングで偽のMicrosoft Teamsインストーラーを拡散

カテゴリ:

概要

中国の高度な持続的脅威 (APT) グループであるSilver Fox(別名Void Arachne)が、中国語を話す世界中の従業員を標的とした巧妙なSEOポイズニングキャンペーンを展開しています。このキャンペーンでは、偽のMicrosoft TeamsインストーラーにValleyRATマルウェアを仕込み、配布しています。驚くべきことに、攻撃の帰属を偽装するため、意図的にキリル文字やロシア語の要素が使用されています。

脅威インテリジェンス企業ReliaQuestによると、このキャンペーンは2025年11月から活動を開始しており、Silver Foxが国家支援型スパイ活動とサイバー犯罪による資金調達という二重の目的を持っていることを示唆しています。彼らの標的戦略は、中国語を話すユーザーに特化しており、タイポスクワッティングドメインやローカライズされたソーシャルエンジニアリング戦術を用いることで、地域のセキュリティツールによる検出を回避しようとしています。

SEOポイズニング攻撃の詳細

Silver Foxは以前にも、偽のTelegramやChromeブラウザの配布にSEOポイズニングを利用していました。今回の最新の攻撃は、その手口をさらに発展させたものです。彼らは、ドメイン「teamscn[.]com」を通じてMicrosoft Teamsになりすまし、中国のユーザーを狙った意図的なタイポスクワッティング攻撃を行っています。この悪意のあるウェブサイトは2025年3月に開設され、11月初旬に感染試行が激化する前に微調整が加えられました。

ユーザーが正規のMicrosoft Teamsアプリケーションだと思ってダウンロードすると、「MSTчamsSetup.zip」(注目すべきはキリル文字が含まれている点です)という名前のトロイの木馬化されたZIPファイルを受け取ります。このファイルにはValleyRATマルウェアが含まれており、Alibaba Cloudインフラの「shuangkg[.]oss-cn-hongkong[.]aliyuncs[.]com」でホストされています。このインフラの選択は、Silver Foxが中国の標的および中国国内で活動する組織に運用上の焦点を当てていることをさらに裏付けています。

巧妙な実行チェーン

マルウェアの実行チェーンは「Setup.exe」から始まり、まずアクティブなセキュリティソフトウェアの偵察を即座に実行します。マルウェアは特に、中国で広く展開されているアンチウイルスソリューションである360 Total Securityの「360Tray.exe」と「360tray.exe」コンポーネントをチェックします。この検出メカニズムは、キャンペーンの精密な標的設定を示しており、攻撃者が意図する被害者のセキュリティ体制について詳細な知識を持っていることを示唆しています。

偵察が完了すると、マルウェアは難読化されたPowerShellコマンドを実行し、Windows Defenderの除外リストをドライブ全体(C:、D:、E:、F:)に変更し、その後の悪意のある活動からアンチウイルスソフトウェアの目をくらませます。その後、感染チェーンは、完全にロシア語で表示されるトロイの木馬化されたMicrosoft C++再頒布可能インストーラーを展開し、JSON設定ファイルからバイナリデータを読み取って悪意のあるペイロードを実行します。

攻撃のステルス性にとって重要なのは、マルウェアが合法的なWindowsプロセスである「rundll32.exe」に悪意のあるDLLファイルをロードするバイナリプロキシ実行を利用している点です。この技術により、マルウェアは信頼されたシステム活動として偽装され、「Ntpckj[.]com」(134.122.128[.]131)へのコマンド&コントロール接続をポート18852経由で確立します。これにより、包括的なエンドポイント検出・対応(EDR)ソリューションやPowerShellイベントログを持たない組織からは、その活動が見えない状態を維持します。

緩和策

中国に従業員がいる組織や中国語を話すスタッフを抱える組織は、このキャンペーンから高いリスクに直面しており、プロアクティブな防御策を講じるべきです。セキュリティチームは、ValleyRATの感染チェーンを完全に可視化するために、以下の設定を有効にする必要があります。

  • WindowsイベントID 4688(コマンドラインロギング)
  • イベントID 4104(PowerShellスクリプトブロックロギング)

また、事前に承認されたアプリケーションを含む従業員向けセルフサービスソフトウェアカタログを導入することで、ユーザーが悪意のあるドメインからソフトウェアをダウンロードする可能性を低減できます。特に中国に事業所を持つグローバル企業は、国際拠点における包括的なセキュリティ評価を喫緊の優先事項とすべきです。

適切なロギング、EDRソリューション、およびValleyRATの挙動とバイナリプロキシ実行技術に特化した検知ルールを実装することで、封じ込めまでの平均時間を大幅に短縮し、Silver Foxキャンペーンによる運用的影響を最小限に抑えることができるでしょう。

元記事: https://gbhackers.com/fake-microsoft-teams-2/

投稿をさらに読み込む