ハッカーはステルス配信技術をますます採用しており、新たに発見されたスピアフィッシングキャンペーンは、ネストされたmacOS風のフォルダー構造がいかに悪用され、高度なマルウェアを配備しながら検出を回避できるかを示しています。
フィッシングメールは「常州大学2026年《国家学生体质健康标准》测试通知最终版.zip」という名前のZIP添付ファイルを含んでおり、公式の大学通知になりすまします。ソーシャルエンジニアリングは異常に正確です:このフィットネス評価の失敗は卒業適格性に直接影響を与え、学生と教職員にファイルを開くよう圧力をかけるという緊急性を作り出しています。
主要な対象には、大学、政府系学術機関、スポーツ部門、管理スタッフ、フィットネス評価の完了が必要な学生が含まれます。
攻撃は163.comアカウント経由で送られた詐欺メールで始まり、大学の通信になりすまします。開かれると、ZIPアーカイブはデコイドキュメントを提示し、実際のスタッフ名、連絡先、および被害者の確認を困難にする機関シールの要素を完備した公式通知に密接に複製しています。
アーカイブ内:
- PDFに偽装した欺瞞的なLNKファイルが初期トリガーとして機能します。
- 4層のネストされたディレクトリが、マルウェアコンポーネントをスキャナーから隠すためにmacOSメタデータ構造を模倣しています。
このレイヤー化されたデザインは、自動スキャンと手動検査の両方中に視認性を低下させます。
GBhackersと共有されたレポートでSeqrite Labsが述べた、中国の教育部門、特に常州大学を対象とした高度にターゲット化されたスピアフィッシング操作が特定されました。攻撃者は、必須の2026年全国学生体力と健康基準テストサイクルに関連する文化的および制度的に関連する誘いを活用しました。
マルチステージ実行
感染チェーンはいくつかのステージを通じて進行します:
ステージ1:LNK実行
LNKファイルはexplorer.exeを使用して隠されたVBScriptを実行し、スクリプトインタープリターを監視するセキュリティツールをトリガーするのを避けるliving-off-the-land技術です。
ステージ2:VBScriptローダー
chromedo.vbsという名前の軽量スクリプトが実行を調整します。デコイPDFを開くと同時に、次のペイロードをサイレントに起動します。短い遅延により、悪意のあるアクティビティが開始する前に、ドキュメントが正当に見えるようになります。
ステージ3:DLLサイドローディング
スクリプトは隠されたディレクトリから正当なBandizipの実行ファイルを起動します。悪意のあるDLLサイドローディング(ark.x64.dll)がそれと並んで配置され、Windows DLL検索順序を悪用して、信頼できるプロセス内の攻撃者制御コードをロードしています。
悪意のあるDLLは高度なアンチ分析技術を採用しています:
- GetTickCount、IsDebuggerPresent、CheckRemoteDebuggerPresentを使用したデバッグチェック。
- 暗号化された文字列とVirtualAllocを使用したランタイムデクリプション。
- Wireshark、Procmon、Fiddlerなどのツールを検出するためのプロセス列挙。
分析ツールが検出されると、検出を避けるために実行が停止します。
検証されると、マルウェアは難読化されたSFXペイロードを直接メモリーにデクリプトしてロードします。その後、最終段階のCobalt Strike Beaconをデプロイする前に、AMSIおよびETWなどのセキュリティ制御をバイパスします。
特に、ペイロード全体がメモリー内で動作し、ディスク上に最小限のフォレンジックアーティファクトを残します。
ネストされたmacOS形式のフォルダー
研究者は、LNKファイルの再利用されたマシンID、およびliving-off-the-landツールとしてのBandizipの一貫した使用を含む共有アーティファクトを通じて、複数のサンプルをリンクさせました。
コマンド&コントロール通信は60.205.186.162にトレースされ、Alibaba Cloud(AS37963)でホストされており、lysander[.]asiaなどのドメインがあります。インフラストラクチャー分析により、HiChinaやFeishuなどの中国ホスティングプロバイダーおよびサービスとの結びつきが明らかになり、中国ベースの運用足跡を示唆しています。
Seqrite Labsは「Operation Dragon Whistle」というキャンペーンを、脅威行為者UNG0002に中高度の信頼度で属します。グループはOperation Cobalt Whisperとして知られる前のキャンペーンと強い戦術的重複を共有しています。
このキャンペーンは成長傾向を強調しています:高忠実度のソーシャルエンジニアリングを深く難読化された配信メカニズムと組み合わせる攻撃者。ネストされたフォルダー構造、正当なソフトウェアの悪用、およびメモリー内実行の使用は、現代の脅威が運用上のステルスを維持しながら伝統的な検出をいかに回避するかを示しています。
特に教育部門の組織は、メールフィルタリングを強化し、LNKファイルの実行を制限し、アーカイブユーティリティなどの正当なツールの異常な使用を監視して、そのような攻撃への露出を減らす必要があります。
IOCs
| ファイル名 | SHA256 |
| 常州大学2026年《国家学生体质健康标准》测试通知最终版.zip | e7aff6a55a7866776272d9913dfbf9d7db33fc9de6aced22f2a195feebb0e85f |
| 常州大学2026年《国家学生体质健康标准》测试通知.pdf | fe11b199ada23d5ac25efc4215e67f4ff617ccb4d429eb64412072687367ca1c |
| 常州大学2026年《国家学生体质健康标准》测试通知.pdf.lnk | cd99e83d241cfbb41bfcd0bc622a87d16268e710ca7d736d0c5f44774e0056e2 |
| メール | eb14d9e35a3bf0a933297f861bee0be9e6b9061fe4573a81ac92b71d55b6474f |
| Bandizip.exe | c937eca7c4c9b98df9257d986e666d25411aac5fa39d21f7018dd2e1663f0c76 |
| ark.x64.dll | 35a478f53f64bd412f374c65360fdba0518749537193669a8fe08d14bed65a2a |
| Cobalt Strike Beacon | ed7087e3afba4b320bdf04f32d3a6c567effd3d18a97682968e567000e70b335 |
注: IPアドレスとドメインは、偶発的な解決またはハイパーリンクを防ぐために意図的に難読化されています(例: [.])。MISP、VirusTotal、またはSIEMなどの制御された脅威インテリジェンスプラットフォーム内のみで再ファングしてください。
翻訳元: https://gbhackers.com/nested-macos-style-folders/
