新たに発見されたサイバーキャンペーン「Operation Dragon Whistle」は、詐欺的なPDF/LNKファイルを通じてCobalt Strikeビーコンを展開し、中国の教育部門を標的にした、高度にカスタマイズされたスピアフィッシング攻撃で狙われています。
攻撃者は、学生と教職員に重要なテスト通知をレビューするよう促す公式大学通信を装ったメールを作成しました。
このメッセージには、フィットネス評価に関連する公式文書に見せかけるために中国語で名前が付けられたZIP添付ファイルが含まれており、これは卒業資格に直接影響する要件です。このコンテキストは緊急性を生み出し、ユーザーインタラクションの可能性を大幅に高めます。
このキャンペーンを特徴づけるのは、その精密性です。フィッシングメールは一般的ではなく、実際の大学プロセスと深く一致しています。
おとりドキュメントは公式通知をレプリケートし、職員名、連絡先番号、機関のシール、QQグループリファレンスなどの検証可能な要素さえ含んでいます。これらの詳細は、内部知識か広範な調査を示唆しています。
この攻撃は、主に国家教育政策によって管理されている学術機関内の学生、教職員、行政スタッフ、およびスポーツ部門の職員を対象としています。コンプライアンス駆動型のプロセスを活用することで、攻撃者は被害者を効果的に操作して悪意のある添付ファイルを実行させます。
ZIPファイルが開かれると、被害者はPDFに見せかけた悪意のあるLNKショートカットを見つけます。このファイルは無害に見えながら、多段階の実行チェーンを開始します。
LNKファイルは合法的なexplorer.exeバイナリーを悪用して、ネストされたディレクトリ深くに位置する隠されたVBScriptファイルを実行します。この技術は、直接的なスクリプト実行を監視する一般的なエンドポイント検出システムのトリガーを回避します。
Seqrite Labsは、GBhackesと共有されたレポートで述べています。この作戦は特にChangzhou Universityを標的にしており、機関の強制的な2026年国家学生体力健康標準テストサイクルを悪用して被害者をおびき出しています。
VBScriptはオーケストレーターとして機能します。合法的に見える詐欺的なPDFを同時に開いてユーザーを気晴らしさせながら、隠されたディレクトリからバンドルされた実行可能ファイルであるBandizipを静かに起動します。スクリプトには、詐欺的なドキュメントが最初に表示されることを確保し、疑わしい動作をマスクするための軽微な実行遅延が含まれています。
その後、攻撃はDLLサイドロードに移行します。Windowsの検索順序の動作により、合法的なBandizipアプリケーションはark.x64.dllという名前の悪意のあるDLLをロードします。これにより、マルウェアは信頼されたプロセス内で実行でき、検出リスクを低減します。
PDF LNKファイルがCobalt Strikeを展開する
悪意のあるDLLは高度なアンチ分析技術を採用しており、デバッガー検出とプロセス監視が含まれます。Wireshark、Procmon、Fiddlerなどのツールを確認し、そのような環境が検出された場合は実行を停止します。
合法的な実行可能ファイルと同じ場所にあるSFXモジュールは、デバッグインターフェース、サンドボックスアーティファクト、またはエンドポイント監視プロセスがアクティブでないことの検証が成功した後にのみメモリにロードされました。
検証後、マルウェアは自己抽出アーカイブメカニズムを使用して、メモリ内に埋め込まれたペイロードを復号化します。AMSIおよびETWなどのセキュリティ管理を回避し、アンチウイルスおよびエンドポイント検出ツールへの可視性を制限します。
最終的なペイロードはCobalt Strike Beaconです。これはディスクに触れずにメモリに直接ロードされます。Alibaba Cloudインフラストラクチャにホストされたコマンドアンドコントロールサーバーとの通信を確立します。このファイルレス実行アプローチは、フォレンジック痕跡を大幅に削減します。
Seqrite Labsはキャンペーンを脅威アクターUNG0002に帰属させており、中程度から高い信頼度でこれを行い、Operation Cobalt Whisperとして知られている以前に文書化されたキャンペーンとの強い類似性を引用しています。両方の操作は、LNKベースの配信とVBScript実行に大きく依存しています。
インフラストラクチャ分析により、Alibaba Cloudでホストされたサーバーの使用が明らかになりました。特にIPアドレス60.205.186.162はドメインlysander[.]asiaにリンクされています。HiChinaやFeishuなどの中国のサービスプロバイダーの存在はさらに、中国ベースのアクターへの帰属を支持しています。
Operation Dragon Whistleは、文化的および機関的な認識が成功を最大化するために武器化される教育部門における標的型攻撃の増加する洗練さを強調しています。
IOCs
| ファイル名 | SHA256 |
| 常州大学2026年《国家学生体质健康标准》测试通知最终版.zip | e7aff6a55a7866776272d9913dfbf9d7db33fc9de6aced22f2a195feebb0e85f |
| 常州大学2026年《国家学生体质健康标准》测试通知.pdf | fe11b199ada23d5ac25efc4215e67f4ff617ccb4d429eb64412072687367ca1c |
| 常州大学2026年《国家学生体质健康标准》测试通知.pdf.lnk | cd99e83d241cfbb41bfcd0bc622a87d16268e710ca7d736d0c5f44774e0056e2 |
| メール | eb14d9e35a3bf0a933297f861bee0be9e6b9061fe4573a81ac92b71d55b6474f |
| Bandizip.exe | c937eca7c4c9b98df9257d986e666d25411aac5fa39d21f7018dd2e1663f0c76 |
| ark.x64.dll | 35a478f53f64bd412f374c65360fdba0518749537193669a8fe08d14bed65a2a |
| Cobalt Strike Beacon | ed7087e3afba4b320bdf04f32d3a6c567effd3d18a97682968e567000e70b335 |
注意: IPアドレスとドメインは、誤った解決またはハイパーリンクを防ぐために意図的に変更されています(例: [.])。再度有効にするのは、MISP、VirusTotal、またはSIEMなどの制御された脅威インテリジェンスプラットフォーム内でのみにしてください。
翻訳元: https://gbhackers.com/pdf-lnk-files-deploy-cobalt-strike/
