インド所得税局(Income Tax Department)になりすました標的型フィッシングキャンペーンが確認されました。6段階からなる高度な感染チェーンを経て、最終的にメモリ上で動作する2種類のリモートアクセス型インプラント――Gh0st RAT亜種と、Quasar/AsyncRATファミリーの.NETペイロード――を展開するというものです。
被害者は財務省(Ministry of Finance)や所得税局のブランディングを模倣した偽の政府ページへと誘導され、緊急のコンプライアンス通知によってプレッシャーをかけられます。
その後、偽の「Microsoft Edge Secure Gateway」ページへと二次リダイレクトされることで正当性が演出され、Common_Offline_Utility_ITR-1_to_4_AY2026-27.zipという名前のZIPアーカイブが自動的にダウンロードされます。
このアーカイブには、一見正規のデジタル署名付き実行ファイル(COU_ITR-1_to_4_AY2026-27.exe)と、それに付随するnvdaHelperRemote.dllが含まれています。
署名済みバイナリと並べて悪意のあるDLLを配置することで、Windowsのdll検索順序の仕組みを悪用し、信頼されたプロセスに攻撃者が用意したコードを読み込ませ、クリーンな実行コンテキストを確保します。
このサイドロードを起点に、キャンペーンは6段階にわたって展開されます。最初のDLLはメモリ上でシェルコードをデコードし、ダウンローダーを起動します。このダウンローダーはUACのrunasプロンプトを介して権限昇格を行い、グローバルイベントを使って単一インスタンス実行を強制し、「Windows Mixed Reality Service」という表示名を持つMixedSvcというサービス名で永続化を確立します。
ダウンローダーは118[.]107[.]0[.]197のインフラからポリグロットファイルを取得し、C:\Windows\background.jpgとして保存します。
Howler Cell Threat Researchが特定したこの攻撃活動は、ソーシャルエンジニアリング、署名済みバイナリのサイドロード、ポリグロット画像を用いた運搬手法、そしてセッションを意識したインジェクションを組み合わせることで、すべてのユーザーセッションにわたる強靭かつステルス性の高いアクセスを実現しています。
そのJPGファイルは有効な画像ではあるものの、異なるオフセット位置に複数の暗号化されたペイロードのblobが追加されています。これにより、後段のステージは目立つ痕跡を残さずに各コンポーネントを抽出できるようになっています。
所得税局を騙るフィッシング
段階的なローダーは、次段階のDLLをディスクにPEファイルとして書き出すことなくリフレクティブにマッピングします。インジェクターはプロセスを列挙し、CreateRemoteThreadとWriteProcessMemoryを使ってsvchost.exeにペイロードを注入します。
特筆すべき点として、セッションを意識したインジェクターは複製したトークンを割り当て直すことで、すべてのアクティブセッションにわたってsvchost.exeのサスペンド状態のインスタンスを生成し、ログイン中の各ユーザーごとに2つの独立したペイロードを注入します。
この設計により、インプラントはセッション切り替えを乗り越えて存続し、サービスコンテキストとインタラクティブコンテキストの両方に到達できます。
最終段階では、svchost.exeに注入された2つの独立したインプラントが生成されます。1つ目はkkxqbh[.]top:6666に接続するGh0st RATスタイルのペイロードです。
これは完全にメモリ上で動作し、zlib、CameraUtil.dll、libturbojpeg、そしてカスタムのVTCP.dllをリフレクティブにロードすることで、画面キャプチャをJPEGに変換するパイプライン、リバースシェル、ファイル操作、そして堅牢なC2フレーミング(6バイトの同期シグナル+4バイトの長さフィールド、zlib圧縮)を実装しています。
2つ目のインプラントは、.NETベースのQuasar/AsyncRATファミリーのペイロードで、AES暗号化されたアセンブリとして配布され、メモリ上で復号された後にAMSIパッチが適用され、ネイティブプロセスのCLR上で直接ホストされます。そのC2はouewop[.]com:6351を指しており、Quasar特有のPBKDF2ベースの設定生成と暗号化された設定blobを使用します。
Mathematics
運用面では、この二重インプラント構成が冗長性と検知回避性の違いをもたらしています。防御側や対応チームが一方の通信チャネルを無効化しても、もう一方でアクセスを維持できる仕組みです。
署名済みローダーの使用、無害なJPEGに見せかけたポリグロット運搬手法、リフレクティブローディング、そしてセッション全体にわたるインジェクション――これらすべてが、ファイルベースの防御やプラットフォーム単体の保護に対する回避を重視した設計であることを示しています。
このキャンペーンの高度さと、インドの納税者を狙った標的型のソーシャルエンジニアリングを踏まえ、脅威レーティングは「高」に引き上げられています。
MixedSvc/「Windows Mixed Reality Service」というサービス名、名前付きグローバルイベント(Global\kkctsbnn、Global\ShitSetupOn26126k)、background.jpgというポリグロットの痕跡、そしてC2ドメインを用いた能動的なハンティングにより、検知と封じ込めのための迅速なテレメトリが得られます。
インシデント対応チームは、注入されたsvchost.exeインスタンスからのメモリキャプチャ、確認されたドメイン・IPに対するネットワークブロックリストの適用、そしてユーザーのダウンロードワークフローにおける署名済みバイナリ利用の検証を優先すべきです。
IOC(侵害指標)
| 種別 | 指標 | 詳細 |
|---|---|---|
| ドメイン | import[.]mom | 誘導ページのホスティング |
| ドメイン | tqhaq[.]rest | 誘導ページのホスティング |
| ドメイン | generate[.]lat | 誘導ページのホスティング |
| ドメイン | meoou[.]rest | 誘導ページのホスティング |
| ドメイン | kattp[.]homes | 誘導ページのホスティング |
| URLパス | /incometax | 共通の誘導ページパス |
| IP | 118[.]107[.]0[.]197 | ポリグロットファイルのホスティング |
| URL | hxxp[://]118[.]107[.]0[.]197/ouewo[.]jpg | ポリグロットファイルのダウンロード |
| ドメイン | kkxqbh[.]top | Gh0st RATのC2 |
| ポート | 6666 | Gh0st RATのC2ポート |
| ドメイン | ouewop[.]com | AsyncRATのC2 |
| ポート | 6351 | AsyncRATのC2ポート |
注: IPアドレスとドメインは、意図しない名前解決やハイパーリンク化を防ぐため、意図的に無害化表記(例: [.])にしています。再度有効な形式に戻す作業は、MISP、VirusTotal、あるいは自社のSIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
2019年のSOC向けに書かれたSLAをそのまま受け入れるのはもうやめませんか――2026年版AI SLA ベンダーチェックリスト ―― 無料の AI SOC SLA ガイドをダウンロード
翻訳元: https://gbhackers.com/income-tax-department-phishing/