脅威アクターは、大学のコンプライアンスをめぐる高圧的な環境を悪用してステルスマルウェアを展開しています。
Seqrite Labsはこのほど、中国の常州大学を標的とした高度に絞り込まれたスピアフィッシングキャンペーン「オペレーション・ドラゴン・ホイッスル」を発見しました。
中程度から高い確度でUNG0002グループと特定された攻撃者は、2026年に義務付けられた体力測定サイクルを強力なソーシャルエンジニアリングの誘い文句として利用しています。
攻撃者はおとり文書に実際の職員名・電話番号・公印を盛り込むことで、深い組織内知識を示しています。
体力測定で不合格になると学生の卒業資格に直接影響するため、これにより深刻な切迫感が生み出されます。
このキャンペーンは、なりすまし送信者からZIP添付ファイルを届けるフィッシングメールで始まります。このファイルは大学の公式通知を装っていますが、検出を回避するよう設計された複雑な多段階の感染メカニズムを内包しています。
最初の感染は、被害者がPDFに偽装した二重拡張子のLNKファイルをクリックすることで始まります。このLNKは軽量なVBScriptを起動し、正規のおとり文書を開く一方で、悪意のあるバックグラウンドプロセスをひそかに実行します。
Bandizip という正規のアーカイブツールが、攻撃者の制御するファイルを読み込ませることで DLLサイドローディングを実行する ために悪用されています。
マルウェアはアクティブなデバッグツールやセキュリティ環境の存在を確認してから、ペイロードをメモリ上に直接展開してCobalt Strike Beaconを配置します。
ペイロードを完全にメモリ上で実行することで、マルウェアはディスク上の痕跡を最小限に抑え、フォレンジックによる可視性を低下させます。
また、スクリプトはAntimalware Scan Interface(AMSI)などのWindowsセキュリティ機構を回避するための難読化技術を採用しています。
Seqriteの調査によると、脅威アクターは地域トラフィックに紛れ込むためにAlibaba Cloudを使ってインフラを周到に構築しました。
過去のオペレーションからホスティングプロバイダーを交代させることで、自律システム番号に基づくネットワークブロッキングを回避しています。
中国国内の企業向けツールやドメインレジストラを使用していることも、このオペレーションの高度に標的を絞った性質を裏付けています。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐために意図的に無害化されています(例:[.])。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ再有効化してください。
翻訳元: https://cyberpress.org/dragon-whistle-deploys-cobalt/