脅威アクターUNG0002は、「オペレーション・ドラゴン・ウィッスル」と名付けられた高度なスピアフィッシングキャンペーンにより、中国の教育分野を積極的に標的にしています。
Seqrite Labsの研究者によると、攻撃者は常州大学の学生および教員に焦点を当てています。
このキャンペーンは、大学が義務付けている2026年全国学生体力・健康基準テストのサイクルに関連した高度に文脈化された誘い文句を使用し、偽の緊急感を演出しています。
攻撃は、大学の公式管理部門になりすましたNetEaseの無料アカウントから送信されるスピアフィッシングメールから始まります。メールには2026年体力テスト通知にちなんで命名された悪意のあるZIP添付ファイルが含まれています。
特定の大学スタッフ名、直通電話番号、QQグループIDを参照することで、脅威アクターは初期段階の疑念を回避する高いレベルのソーシャルエンジニアリングの精度を達成しています。
ZIPアーカイブを開くと、被害者はPDFに見せかけたLNKファイルを目にします。攻撃者は実際の悪意あるペイロードを、macOSのメタデータディレクトリの命名規則を模倣した4階層のネストされたフォルダの中に巧妙に埋め込んでいます。
この構造により、自動アーカイブスキャナーや簡単な手動検査からペイロードを効果的に隠蔽しています。
LNKファイルをクリックすると、複雑なマルチステージの感染プロセスが引き起こされます:
Seqriteの調査によると、読み込まれたDLLは直ちに複数のアンチデバッグおよび回避チェックを展開します。
WiresharkやProcess Monitorなどのアクティブな監視ツールをスキャンし、解析環境が検出された場合は実行を停止します。
環境が安全と判断されると、マルウェアはメモリ内でSFXペイロードを展開し、AMSIやETWなどのセキュリティメカニズムを妨害し、最終的にCobalt Strike Beaconを展開します。
ペイロード全体はディスク上の痕跡を最小化するためにメモリ内で直接実行され、コマンド&コントロール(C2)通信はlysander[.]asiaドメインを通じてAlibaba Cloudインフラ経由でルーティングされます。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化されています(例:[.])。再有効化はMISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/hackers-hide-nested-malware/
