多段階のフィッシングキャンペーンがインド所得税庁を装い、Gh0st RATとAsyncRATの両方を展開していることが判明しました。攻撃者は別々のC2インフラを通じて冗長なアクセス経路を確保しています。
サイバー犯罪者たちが、インドの確定申告シーズンを狙った新たなマルウェアキャンペーンを展開しています。今回の攻撃は、一つの手段に頼らない周到さが特徴です。
Cyderesの研究者たちは、インド税務当局になりすまし、多段階の感染チェーンを通じて2種類のリモートアクセス型トロイの木馬(RAT)を配布する、高度なフィッシング活動を発見しました。攻撃者はこれにより、侵害したシステムへの永続的なアクセスを確保します。
インドの利用者は、公式のITR(所得税申告)ユーティリティを装ったファイルのダウンロードを促す、偽の税務査定通知メールを受け取ります。しかし、説得力のある政府機関の体裁の裏には、正規のWindowsバイナリの悪用、DLLサイドローディング、メモリ内実行、プロセスインジェクションを駆使した、緻密に設計された感染シーケンスが隠されています。
Cyderesによると、この攻撃はGh0st RATの派生型と、QuasarRAT/AsyncRATファミリーに連なる.NETベースのインプラントを展開し、それぞれが別個のコマンド&コントロール(C2)サーバーと通信するとのことです。
Cyderesの研究者たちはブログの投稿で、「この二重インプラント設計により、一方の通信経路が遮断または検知されても、攻撃者は冗長なアクセス手段を確保できます」と述べています。
ステルス性の高い多段階感染チェーン
検知を回避するため、このキャンペーンは初期侵入直後にマルウェアを展開するのではなく、実行チェーンを何層にも重ねる手法を取っています。
被害者が所得税庁の正規ユーティリティを装ったアーカイブをダウンロードして開くと、信頼された実行ファイルが悪用され、悪意のあるDLLを読み込む仕組みになっています。これにより、マルウェアは署名済みバイナリの正当性を利用しながら、セキュリティ対策をすり抜けることができます。
研究者たちは、「感染は正規のデジタル署名が付与されたバイナリである『COU_ITR-1_to_4_AY2026-27.exe』から始まり、攻撃者はこれをランチャーとして再利用します」と述べています。さらに、これは既知の手法であり、攻撃者が「信頼されたバイナリが最初に参照するパスに悪意のあるライブラリを配置することで、マルウェアにクリーンな侵入口を与える」ものだと付け加えています。
続いてキャンペーンはその後の感染段階を実行し、その中で分析回避チェック、AMSIパッチ、.NETアセンブリの暗号化されたメモリ内実行、svchost.exeへのセッション認識型プロセスインジェクションなど、複数の防御回避技術が用いられます。
この一連の攻撃段階には、DLLサイドローディング、攻撃プロセスが管理者権限で実行されているかを確認する権限チェック、そしてセッションを認識したペイロードインジェクションが含まれます。
運用上の冗長性を確保する二重インプラント
このキャンペーンは特に、単一のバックドアに頼るのではなく、意図的に2つの異なるRATファミリーを使用している点が注目されています。
一方のインプラントは長年知られているGh0st RAT系統をベースにしており、もう一方はQuasarRAT/AsyncRATエコシステムに属しています。いずれもリモート管理機能を備えており、攻撃者はコマンドの実行、データ収集、追加ペイロードの展開、感染エンドポイントへの長期的なアクセス維持を行うことができます。
これら各RATは専用のコマンド&コントロール(C2)インフラと通信します。これはインシデント対応の際に一方が検知・遮断されても攻撃を存続させるための設計とみられます。
Cyderesは、このキャンペーンが信頼されたWindowsコンポーネントとメモリ内実行を悪用していることから、EDRのシグネチャのみに頼るのではなく、振る舞い検知に重点を置くことを推奨しています。主要な検知指標としては、DLLサイドローディング、予期しないサービスの作成、AMSIの改ざん、.NETランタイムをホストするネイティブプロセス、svchost.exeへのプロセスインジェクションなどが挙げられます。
この発表では、ファイルハッシュ、悪性ドメイン、C2インフラ、両方のRATファミリーに関連するホストの痕跡など、詳細な侵害指標(IOC)一式も提供されています。