コンテンツにスキップするには Enter キーを押してください

‘HoldingHands’、台湾の組織を狙うスリのような行動

投稿日 2025年6月18日

バイナリーコードで作られた台湾の旗

出典: BreizhAtao via Shutterstock

脅威アクターが台湾の組織を標的にし、データを盗むための洗練された進化するキャンペーンを展開しています。将来的な攻撃に利用される可能性があります。

攻撃者は、台湾の国税局や他の政府機関を装ったフィッシングメールを通じてマルウェアを配信し、税金、年金、公共サービスに関連するテーマを使用しています。

説得力のあるフィッシングの餌

メールには悪意のあるzipファイルが含まれており、開くと多段階の感染チェーンが始まります。最終的なペイロードの一つはHoldingHands(別名Gh0stBins)で、データの流出や監視が可能なリモートアクセス型トロイの木馬(RAT)です。Fortinetはこのキャンペーンを1月から追跡しています。ある場合には、攻撃者は画像を含むメールコンテンツを使用し、クリックすると被害者のシステムにマルウェアをダウンロードするハイパーリンクが含まれています。

zipファイルに埋め込まれたファイルには、HoldingHandsの展開を容易にする悪意のある動的リンクライブラリ「dokan2.dll」が含まれています。マルウェアは、テキストファイル「dxpi.txt」に隠された第二段階のペイロードを密かに復号化して実行し、マルウェアの設定ファイルとして機能し、侵害されたマシンでのインストールと権限昇格のステップを実行します。zipアーカイブに埋め込まれた別のファイルはMsgDb.datで、マルウェアのための複数のコマンド・アンド・コントロール(C2)タスクを実装します。

関連:‘Water Curse’、GitHubリポジトリを毒して情報セキュリティ専門家を標的に

Loading...

「攻撃チェーンは多数のシェルコードとローダーの断片で構成されており、攻撃の流れは複雑です」とFortinetのセキュリティ研究者Pei Han Liaoは今週のブログ投稿で述べています。「これらのサンプルの目的は、C2サーバーにアクセスしてさらなる指示を受け取る悪意のあるペイロードを実行することです。」

攻撃者が収集しているデータには、ユーザー情報、IPアドレス、コンピュータ名、オペレーティングシステムやバージョン、システムアーキテクチャ、CPU周波数、プロセッサ数、メモリサイズ、レジストリ値などのシステム関連情報が含まれます。

初期段階では、攻撃者は税金をテーマにしたフィッシングメールを使用してWinos 4.0を配布しました。これは、キーロギング、スクリーンショットキャプチャ、クリップボード監視、データ流出を可能にする複数のコンポーネントを持つマルウェアツールキットです。その後数ヶ月で、攻撃者はHoldingHandsとGh0stCringeという別のデータスティーラーを追加しました。これらのマルウェアツールはどちらもWinos 4.0と同様の機能を持ち、キーロギング、ファイル盗難、リモートコントロール、追加ペイロードの展開能力をサポートします。

より広範なトレンドの一部

Fortinetが追跡しているようなキャンペーンは、アジアにおける標的型サイバー攻撃の増加するパターンの一部です。これらの攻撃はしばしば地政学的な緊張に関連しています。多くの攻撃では、脅威アクターが国家支援を受けていると疑われることが多く、戦略的セクターのネットワークに侵入するために高度にカスタマイズされたフィッシングの餌を利用しています。今年初め、台湾の国家安全局(NSB)は2024年に台湾政府に対する日々の攻撃数が2.4百万件にほぼ倍増したと報告しました。多くの攻撃は中国支援のグループから発信され、政府や通信組織に重点を置いていました。最近では、Symantecは中国の脅威アクターLotus Pandaがカスタムマルウェアを使用して東南アジアの多くの政府組織に属するシステムを感染させていると報告しました。

関連:CISA、SimpleHelp RMMに対するランサムウェア攻撃の「パターン」を明らかに

SlashNext Email Security+のフィールド最高技術責任者(CTO)であるStephen Kowskiは、台湾での継続中のキャンペーンを計画的かつ実行されたものと説明しました。「彼らが複数のマルウェアバリアント — Winos 4.0、HoldingHands RAT、Gh0stCringe — を協調的な波状攻撃で使用しているという事実は、これは洗練され、資源が豊富な作戦であり、長期的なゲームをしていることを示しています」と彼はメールでの声明で述べました。「特に懸念されるのは、正当なように見えるzipファイルと多段階の感染チェーンを使用して、ゲートウェイで添付ファイルのみをチェックする従来のメールセキュリティをすり抜けていることです。」

関連:人道支援組織に対するサイバー攻撃が世界中で急増

このような攻撃は、組織がメール内のリンクや添付ファイルの背後にある行動や意図をリアルタイムで分析する能力を実装する必要性を強調していますと彼は付け加えました。

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/holdinghands-pickpocket-taiwan-orgs

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です