サイバー犯罪者が税務をテーマにしたフィッシングメールを悪用し、高度なインメモリマルウェアをWindowsシステムに展開しています。従来のディスクベースの検出機構を巧みに回避するこの手法が、新たな脅威として注目されています。
攻撃の起点となるのは、被害者が受け取る悪意のある添付ファイルを含むフィッシングメールです。添付ファイルは、Intuit QuickBooksやHMRC(英国歳入関税庁)など正規機関からの公式税務書類、W-2フォーム、税務申告却下通知に偽装されています。
添付ファイルを開くと、ディスクに悪意のあるコードを一切書き込まない多段階の実行チェーンが起動します。攻撃者はPowerShell、mshta.exe、WMI(Windows Management Instrumentation)といった正規のWindows管理ツールを活用し、シェルコードローダーをすべてメモリ上で実行します。
脅威アクター「Silver Fox」によるとされる最近のキャンペーンでは、インド国内の組織や個人が標的とされており、税務当局の公式通信を巧みに模倣した説得力の高い税務テーマの誘い文句が使われています。
攻撃は、公式税務書類を装ったPDF添付ファイルから始まります。このPDFは被害者をZIPアーカイブを提供するウェブサイトへリダイレクトします。ZIPの中にはNSISインストーラーが含まれており、正規の署名済みバイナリと悪意のあるDLLを投下します。このDLLはDLLハイジャッキングを通じて読み込まれ、セキュリティ制御を回避します。
CYFIRMAがGBhackersと共有したレポートによると、2026年初頭に検出された最新のキャンペーンでは、攻撃者が税務機関や金融機関を装い、高度なリモートアクセス型トロイの木馬(RAT)をシステムメモリ内のみで展開しながら機密情報を窃取しているとのことです。
このマルウェアはさらに、LLVMベースの制御フロー平坦化(CFF)を用いて実行を保護し、HTTPプロトコルアップグレードを通じてWebSocketベースの永続的なC2(コマンド&コントロール)通信を確立します。
悪意のあるDLLはアンチデバッグチェックを実行し、Windows Updateサービスを無効化したうえで、埋め込まれたペイロードを復号し、プロセスインジェクションにより正規のWindowsプロセスに侵入します。
インメモリ実行による税務フィッシング攻撃の手口
Donutを使用して生成されたシェルコードローダーが最終ペイロードをラップし、すべてメモリ上で実行することで、アンチウイルスソリューションが通常スキャンするディスク上の痕跡を残しません。最終ペイロードはモジュール型のRATであり、キーロギング、リモートシェルアクセス、ファイル転送、動的プラグイン実行などの機能を備えています。
インメモリマルウェア(ファイルレスマルウェアとも呼ばれる)は、ディスク上に永続的なファイルを作成せずシステムメモリ上のみで実行されるため、攻撃技術の重大な進化を示しています。
静的解析の結果、SbieDll.dllはMicrosoft Visual C/C++(Visual Studio 2022)を使用してAMD64アーキテクチャ向けにコンパイルされた64ビットのポータブル実行可能ダイナミックリンクライブラリ(PE64 DLL)であることが判明しました。
このアプローチでは、攻撃者が正規のシステムツールを活用する「環境寄生型(Living-off-the-Land)」技術を駆使し、レジストリの実行キーやスタートアップフォルダを通じて永続性を確保します。そのため、セキュリティチームにとって検出は極めて困難です。
Proofpointの2025年税務シーズンレポートでは、税務機関を騙る100件以上の悪意ある作戦が確認されており、Rhadamanthys、zgRAT、MetaStealer、XWorm、AsyncRAT、VenomRATなどのマルウェアが配布されています。
また別のキャンペーンでは、偽の税務書類を使ったRemcos RATの配布が確認されており、PowerShellスクリプトとMicrosoftショートカットファイルを組み合わせ、mshta.exeを経由して悪意のあるHTAファイルを静かに実行します。
このマルウェアは、EDR(エンドポイント検知・対応)ソリューションが頻繁に監視する標準的なWindows APIで新しいスレッドを作成する代わりに、COM IContextCallback::ContextCallbackハンドラーを通じてシェルコードを実行するようです。
Silver Foxキャンペーンは、検出を回避するための設定可能なビーコニング間隔を持つ多層フェイルオーバーC2通信を実現しており、コンポーネントをレジストリに保存することで永続性を維持しています。
このキャンペーンは、国家支援の脅威アクターがソーシャルエンジニアリングと高度な多段階マルウェア技術を組み合わせ、特定の地域の標的を狙っていることを浮き彫りにしています。
セキュリティチームは、PowerShellの異常な使用、mshta.exeによるダウンロード、DLLハイジャッキングの試みなど、不審な実行パターンの検出を優先すべきです。
組織は、税務シーズン中のフィッシング手口の見分け方について従業員への教育を徹底する必要があります。これらの誘い文句は、金銭的ペナルティへの不安や緊迫感を巧みに利用しています。
アプリケーションホワイトリストの導入、Living-off-the-Land技術の監視、メモリスキャン機能の展開は、こうした回避型攻撃に対する重要な防衛策となります。
税務テーマの攻撃が効果的な理由は、被害者が権威ある組織からの連絡を期待していたり、申告内容の不備による罰則を恐れていたりするためです。
RaccoonO365のようなフィッシング・アズ・ア・サービスプラットフォームがRemcos RATやBruteRatel C4を展開する形で脅威インテリジェンスが進化する中、防御側も従来のファイルベースのアンチウイルスを超えた検出戦略へと進化させていく必要があります。
侵害指標(IOCs)
| No. | 侵害指標(IOCs) | 種別 | 対応 |
| 1 | guhxmg.com | ドメイン | ブロック |
| 2 | naiqja.icu | ドメイン | ブロック |
| 3 | zh-welcome-1xbet.com | ドメイン | ブロック |
| 4 | d.pc-weide.com | サブドメイン | ブロック |
| 5 | taxations.cn-web-okooo.com | サブドメイン | ブロック |
| 6 | taxations.indiagov.it.com | サブドメイン | ブロック |
| 7 | zhengfu666.com | ドメイン | ブロック |
| 8 | asdqxcdsa.icu | ドメイン | ブロック |
| 9 | appradarr.cc | ドメイン | ブロック |
| 10 | ws4962.com | ドメイン | ブロック |
| 11 | 185b7a487316454da04e9cc0fe6eb370bb2955cf6096fe3e8c02c46f8989ba37 | SHA-256 | ブロック |
| 12 | 4c9061a07d667bf7dd6f597a43a8552af2f4277b7be06d6ea138abdb668d6a49 | SHA-256 | ブロック |
| 13 | 949acbe543fc244ffbc981ea169067da7c5792af3c3d19b2c31b3d7e19106880 | SHA-256 | ブロック |
| 14 | be31a63cad112723178289968ad6f93a576c5a7984099c42eec3521cdf6e5fc0 | SHA-256 | ブロック |
| 15 | 7d87a86dbd2379ef2516c99258137cd9c25ca19c48aeb096c5332c02fcbf16d0 | SHA-256 | ブロック |
| 16 | 43.128.54.184 | IPアドレス | ブロック |
注意: IPアドレスおよびドメインは、誤解決やハイパーリンク化を防ぐため意図的にデファング処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ元の形式に戻してご使用ください。
翻訳元: https://gbhackers.com/tax-phishing-emails-deliver-in-memory/
