APT‑C‑20(別名Fancy Bear、APT28)に帰属する新たな侵入キャンペーンでは、同グループがステルス性の高いファイルレス技術をさらに洗練させている実態が明らかになりました。武器化されたOfficeドキュメントを使い、COMハイジャックDLLを展開する手口です。
攻撃者はPNG画像にLSBステガノグラフィで隠したシェルコードを抽出し、リフレクティブローディングによって難読化されたC#製リモート制御トロイの木馬を実行します。この通信には正規のクラウドストレージサービスFilen.ioが利用されます。
攻撃は、悪意あるreadme.docmマクロドロッパーから始まります。国防省を標的にしたおとりドキュメントを使い、ソーシャルエンジニアリングで標的を欺きます。
このマクロは保護・暗号化されており、有効化されると環境チェックを実施した上で自身を%TEMP%にコピーし、DLL(dnxstore.dll)と一見無害なPNG(EdgeLogo.png)の2ファイルを%PROGRAMDATA%に展開します。
マクロはHKEY_CURRENT_USER配下にハイジャックしたCLSIDを登録し、展開済みのDLLを指すように設定します。これにより、explorer.exeがシステムCOMオブジェクトを初期化する際に発生するCOMルックアップの挙動を悪用し、永続化を確立します。
regsvr32のような露骨なローダーを使う代わりに、マクロはexplorer.exeを目立たない形(STARTUPINFO.wShowWindowを隠蔽)で起動します。これにより、通常のCOMクラス列挙処理を利用して、システムに攻撃者のDLLを読み込ませます。
この間接的なサイドローディング手法は、正規のプロセス(explorer.exe)を実行コンテキストとして利用できるため、目立つAPI呼び出しを減らし、フォレンジック調査による攻撃者特定を難しくします。
DLL自体にも解析対策の仕組みが組み込まれています。自身がexplorer.exe内で実行されていることを確認し、regsvr32経由の実行パスを回避し、スリープ時間の誤差を測定してサンドボックスを検知します。
dnxstore.dllは静的解析を妨害するために独自のエクスポート解決ルーチンを実装しており、一部のCOMエクスポートを本物のstobject.dllへ転送することでプロセスの安定性を保っています。

その後、埋め込まれたPNGを読み込んでRGBA形式に変換し、最下位ビット(LSB)ステガノグラフィによって隠されたペイロードを抽出します。
360 Advanced Threat Research Instituteが解明したこの攻撃チェーンは、ありふれたシステム挙動に多層の暗号化とメモリ内実行を組み合わせることで検知を回避し、長期的なアクセス維持を実現しています。
Fancy BearによるLSBステガノグラフィの活用
ローダーはPBKDF2(内部キーをシードとして使用)を用いてAES‑256鍵を導出し、ピクセルストリームからソルトとIVを取り出します。そして、オフセットとサイズのメタデータを含む64バイトのヘッダーを復号し、暗号化されたコアペイロードを抽出した上で復号します。
レジストリキーHKEY_CURRENT_USER\Software\Classes\CLSID{68DDBB56-9D1D-4FD9-89C5-C0DA2A625392}\InProcServer32をdnxstore.dllに向けることで、COMハイジャックが完成します。

この復号されたペイロードはシェルコードであり、その役割は次段のコンポーネントを完全にメモリ上で読み込むことです。
シェルコードは、極めて難読化されたC#製リモート制御トロイの木馬(Publish.exe)をリフレクティブローディングによって実行します。
AES‑256鍵はPBKDF2アルゴリズムを用いて導出され、その後、対象のPNG画像が読み込まれてRGBA形式に変換され、ピクセルストリームが抽出されます。

C#製インプラントはAESを初期化し、システム由来のアーティファクトから導出したGUID、メタデータ、IV、HMACを含む暗号化されたJSON形式のビーコンを構築した上で、送信前にXOR+Base64による多層処理を施します。
通信はFilen.ioのゲートウェイ(gateway.filen.io、gateway.filen.net)を経由して行われます。複数ノードを利用することで耐障害性を確保しつつ、C2通信を正規のクラウドストレージAPI呼び出しに紛れ込ませています。
このインプラントはコマンドをポーリングし、双方向ハンドシェイクによる鍵交換をサポートするほか、追加のペイロードをメモリ内リフレクティブローディングで実行します。これにより、ファイルレスでの永続化を実現し、ディスク上の痕跡を最小限に抑えています。
今回のキャンペーンは、防御側が注視すべきいくつかの実践的手口を示しています。解析を遅らせるための暗号化コードを含むおとりマクロ、そしてステルス実行を実現するためのCOMハイジャックとexplorer.exeサイドローディングの組み合わせです。
また、一見無害な画像を使ったペイロード転送のためのLSBステガノグラフィ、そして耐障害性と紛れ込みを狙ったクラウドベースC2によるマネージドコードのリフレクティブローディングも特徴です。
対策としては、マクロのデフォルト無効化、Officeマクロポリシーの強化、ユーザーハイブ配下のCOM CLSID登録の監視、explorer.exeの子プロセス起動の監査、PNGファイルの異常なメタデータやピクセルエントロピーの検査、そして予期しないクラウドストレージ通信パターンに対するネットワーク許可リストの設定が挙げられます。
2019年当時のSOC向けに書かれたSLAをそのまま受け入れるのはもうやめましょう。こちらが2026年版AI SLA ベンダーチェックリストです – 無料の AI SOC SLA ガイドをダウンロード
翻訳元: https://gbhackers.com/fancy-bear-uses-lsb-steganography/