主要なグローバル証券取引所の上級幹部が使用するMicrosoft Outlookアカウントへの侵害を含む、長期にわたる高度に標的を絞ったスパイキャンペーンが明らかになりました。この事案は、現代のサイバー作戦における幹部レベルのメールアクセスの戦略的価値を改めて浮き彫りにしています。
この活動は2025年10月から2026年3月にかけて約5ヶ月間継続しており、従来のセキュリティアラートを発動させることなく認証情報を窃取し、メールボックスからデータを持ち出すという、規律ある手法が用いられていました。
攻撃者は広範な横展開よりもステルス性と持続性を重視し、単一の高価値メールボックスからの情報収集に専念しました。
このようなアカウントへのアクセスにより、機密交渉、規制当局との議論、市場に影響を与える意思決定、幹部の出張スケジュール、そして社内コミュニケーションの内容まで把握することが可能になります。
この種の情報は、未公開情報が市場や戦略的ポジショニングに直接影響を与え得る金融エコシステムにおいて、特に高い価値を持ちます。
最初の侵入経路は不明ですが、2025年10月10日までに、攻撃者は侵害されたホスト上でSYSTEMレベルの実行権限をすでに確立していました。
armsvc.exeおよびoneservice.exeという2つの偽装バイナリが、正規のAdobeおよびMicrosoft OneDriveコンポーネントを模倣した欺瞞的なファイルパスに配置されました。いずれもサービスコントロールマネージャー配下のwininit.exeを経由して実行されており、事前に権限昇格が行われていたことを示しています。
正規のシステムプロセスに紛れ込むよう設計されたスケジュールタスクによって持続性が維持されました。注目すべき例として、悪意のあるAdobe偽装バイナリを指す”\Microsoft\Windows\Adobe\ARM Service”という名前のタスクが5分ごとに実行されていました。
その後まもなく、”\Microsoft\Windows\Lenovo\CheckServerHealth”というLenovo偽装タスクを通じて、より体系的な持続性レイヤーが追加されました。このタスクはWindowsの一時ディレクトリからバッチスクリプトを定期的に実行していました。
証券取引所幹部のOutlook
Symantecによると、このキャンペーンの核心は、OutlookのOSTおよびPSTファイルを解析できる正規フレームワークであるAspose .NETライブラリをベースに構築されたカスタムツールを使った、体系的なメールボックスの窃取でした。
攻撃者はこのツールをts_9ea0.tmp、ts_e0d5.tmp、ts_e2d5.tmpなどのランダム化されたファイル名で展開しました。これらすべてのSHA256ハッシュはdb59813e3f27fb8608a4876e758f60b69d9700dc22d15237ac095bb3166fb622で一致しています。
このツールはパスワード保護されたアクセスを使用してOSTメールボックスデータをPSTアーカイブに変換し、指定した日付範囲のメールを抽出しました。
最初の抽出では2025年8月から2025年11月12日までのメールが取得されました。その後の実行ではローリングウィンドウ方式が採用され、新しいメールを段階的なバッチで継続的に収集し続けました。
この手法は、大規模な異常なデータ転送を避けることで検出リスクを低減しつつ、時間をかけてメールボックスをほぼ完全に複製することを可能にするものでした。
データの持ち出しには、主にAPIベースのアップロードを通じてDropboxが使用されました。OAuthトークンは一貫したclient_idとclient_secretを使用して生成されており、単一の管理されたアプリケーションが利用されていたことがうかがえます。
curlを活用したコマンドによってデータが直接Dropboxのエンドポイントにアップロードされ、通常のHTTPSトラフィックに溶け込む形で低プロファイルが維持されました。
並行して、2025年11月21日からはOneDrive Personalが二次的な流出チャネルとして導入されました。
特筆すべきは、攻撃者がonedrive.live.comのDNS名前解決を行う代わりに、13.107.137.11や150.171.41.11といったMicrosoft所有のIPアドレスへ直接通信することでDNSベースの検出を回避した点です。この手法によってDNSロギングおよびフィルタリング制御を効果的に迂回しました。
51.91.79.17でホストされている公開ファイル共有サービスtemp.shが短期間試用されたことも確認されましたが、すぐに放棄されています。持続性メカニズムは頻繁に入れ替えられ、スケジュールタスクが5分から24時間の間隔で再設定されました。
2026年2月には、正規のOneDrive同期サービスを装ったonedrivesync.exeによる追加の持続性メカニズムが導入され、3分ごとに実行されるよう設定されました。
侵入の後期段階でも攻撃は進化を続け、Intelをテーマにしたディレクトリ内へのarmdriver.exeの展開や、te.host.dll(SHA256: 6c700ca4e6d917c7aa9d964e98604a0349d9b8b4673df96a3f73a3d2d042635a)という不審なDLLの配置が確認されました。DLLサイドローディングへの準備と考えられますが、実際の実行は観測されていません。
このキャンペーンは、標的を絞ったメールボックスの情報窃取がいかに主要なスパイ活動の目標となり得るかを示しています。長期的で低ノイズのアクセスを維持し、信頼性の高いクラウドサービスをコマンド&コントロールに活用することで、攻撃者は継続的に機密情報を収集しながら検出を免れることに成功しました。
侵害の痕跡(IOC)
| SHA-256ハッシュ | 脅威 / 説明 |
|---|---|
| db59813e3f27fb8608a4876e758f60b69d9700dc22d15237ac095bb3166fb622 | メールボックス情報窃取ツール |
| 1f385acf11f8ea6673d7295be6492ea9913b525da25dcc037ea49ef4f86a9d58 | SharpDecryptPwd |
| 2587217bc685527480c803ddf34a56ae9d9bf02681828a8a2081acc775312cf3 | FRPC |
| 6a69ea2ce3fea0ebfd7a32a1dfc4251bd4d7d8a4fbd44aaa47b82290d0414a9f | 偽装実行ファイル(appsvc.exe) |
| 8b283c954d19a839a724961ccaf025c56988c4e745acb2d31a15a006cda072bf | 偽装実行ファイル(sepservice.exe) |
| d78f64551d1b31a31e5998e442f0debd458e011e05019b3951d9ddde997f8384 | UACバイパス(bypassuac.exe) |
| 8c0871cd0f60bc603424e948a689945a1828d0bef926a6470ae18cf17d93f7cb | 偽装実行ファイル(armsvc.exe) |
| cf731b82c471211938b210ae8a6dcc7ece4f44371e716f056fa05151a9910727 | 偽装実行ファイル(armsvc.exe) |
| acf5ed6e5bb90c44683938f35efeca551428064cdedbbaab8be69e3474fb806f | 不審なファイル(ss.exe) |
| 308351124c496d4f4effee65ab828506abf70385773c167ab1f32a7f030385ac | UACバイパス(bypassuac.exe) |
| c3405d9c9d593d75d773c0615254e69d0362954384058ee970a3ec0944519c37 | Secretsdump |
| 3b6cb20891bce8602ce669187754871e402a1782031ef8b032cd007e3894bc5d | 悪意のある実行ファイル(sidehost.exe) |
| d5e42104292513232d26ad7d9d317b5c779577da43e28fe27f8c2fb9318b0e8e | 悪意のある実行ファイル(sidehost.exe) |
| 3aae5a24e63f3cb1ca4759b9e4ee8e503ff139189423f5fd8cc923c6819697ca | 偽装実行ファイル(sepservice.exe) |
| 611db3195d55e871dce67ce5c41e894bbaab88dd0d019af68f5a259f0108aef7 | 不審なファイル(sddsvc.exe) |
| eaff006ac0eb7f7fe4db5fc6a4b5b1dc272d83ced66d510dcea185b1278bb453 | 偽装実行ファイル(armsvc.exe) |
| 02048121fd0b3a51751ce7677155aa8818eba9d8ce67ea26fd1d7f43cfcdabd2 | 偽装実行ファイル(armdriver.exe) |
| 6c700ca4e6d917c7aa9d964e98604a0349d9b8b4673df96a3f73a3d2d042635a | 悪意のあるDLL(te.host.dll) |
| f72a8b71f12eaab6518873f72ea4be4572d9f3fb8e8706ade3b9a7314f236f22 | 偽装実行ファイル(onedrivesync.exe) |
| 22f335a65c479c26019f6187dae290624117c82a702a96acbb04fa325f730d3e | 偽装実行ファイル(oneservice.exe) |
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[. ])が施されています。MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してご使用ください。
翻訳元: https://gbhackers.com/stock-exchange-executives-outlook/
