「Operation Capsule Vault」、悪意あるISOファイルとプロセスインジェクションでRokRATを配布

「Operation Capsule Vault」は、2026年6月22日に送信されたスピアフィッシングメールから始まりました。このメールは、正規の学術イベントで配布される資料に関する通知を装ったものでした。

今回の誘い文句は、6月12日にソウルCOEXで開催された「なぜ今、元山(ウォンサン)・葛麻(カルマ)観光なのか」という会議を引き合いに出しており、そのテーマや主催団体など、一般に公開されていたイベント情報を組み込んでいました。

架空のイベントをでっち上げるのではなく、実在する会議の情報を流用することで、攻撃者はメッセージを日常的で、標的にとって関連性の高いものに見せかけました。

受信者はPDF小冊子が添付されていると信じ込まされましたが、実際には添付ファイルらしきものをクリックするとDropboxでホストされたダウンロードページへ誘導される仕組みになっていました。

ダウンロードされたファイルは、セミナー資料に見せかけた名前のISOディスクイメージでした。イメージの中には、一見PDF文書に見えるファイルが入っていました。

しかし、その実際の拡張子は.pif.pif.pifであり、これは現代のWindowsシステムでも実行可能な、実行形式のProgram Information Fileでした。

ファイル名には.pdf.pif.pdf.pif.pdf.pifという二重拡張子のパターンが使われており、Windowsが既知のファイル形式の拡張子を標準で非表示にするという一般的な仕様を悪用していました。

起動されると、このPIFローダーは正規のPDFデコイを表示し、その中には実際のイベントに関連する内容が含まれていました。

これにより、被害者は想定通りの内容を閲覧できる一方で、背後では悪意ある処理が進行しており、実行時に不審だと気づかれる可能性を下げていました。

技術分析の結果、この実行ファイルはEMBED_PAYLOAD_v2マーカーで識別される埋め込みペイロード構造を使用していることが判明しました。ファイルには2つのペイロードが含まれており、1つはデコイPDF、もう1つは内部的にyanfirst64.binとして保存されたシェルコードコンポーネントでした。

「Operation Capsule Vault」で使われるISOファイル

ローダーは自身のペイロードテーブルを解析し、各オブジェクトを抽出したうえで、無害な文書を開きつつ、シェルコードをメモリ上に直接復元していました。

ユーザーが添付ファイルと認識したアイテムをクリックすると、Dropboxのクラウドストレージにリダイレクトされ、その後ISOイメージファイルがダウンロードされます。

CloudStorage

Genians Security Centerは最近、学術イベントの資料配布を装ったスピアフィッシング活動を確認しました。この攻撃は、特定の研究・政策・学術分野に従事する個人を標的とした標的型キャンペーンであると評価されています。

シェルコードはCall-Popルーチンを用いて暗号化データの位置を動的に特定し、その後0x290x290x29というXORキーでペイロードを復号していました。続いて、稼働中のプロセスを列挙してexplorer.exeを特定し、復元したペイロードをこの正規のWindowsプロセスに注入していました。

このインジェクションの連鎖ではCreateToolhelp32SnapshotOpenProcessVirtualAllocExWriteProcessMemoryRtlCreateUserThreadが使用されており、明らかに独立したマルウェアプロセスを起動することなく実行できるようになっていました。

注入されたペイロードは、x64x64x64版のRokRATであると特定されました。RokRATは、OSバージョン、ホスト名、ユーザー名、実行ファイルのメタデータ、SMBIOS由来のシステム識別子など、被害者のプロファイリングデータを収集していました。

さらに、スクリーンキャプチャ、プロセス列挙、論理ドライブの探索、ファイル収集、任意のコマンド実行にも対応していました。

このマルウェアは、コマンド&コントロール通信にpCloud、Dropbox、Yandex Cloudといったクラウドサービスを利用していました。研究者らは、ハードコードされたマルチパート境界文字列--wwjaughalvncjwiajs--Googlebot/2.1というユーザーエージェントを確認しましたが、これらはいずれも以前からRokRATの活動と関連付けられているものです。

また、Geniansが以前分析した「Operation Artemis」で確認されたインフラに関連するYandex OAuthトークンも含まれていました。

クラウドC2の設計、トークンの利用方法、マルウェアの機能、コード構造、そして運用インフラの重複から、Geniansは今回のキャンペーンをAPT37が実行した可能性が高いと評価しています。

組織は、静的な指標のみに依存するのではなく、振る舞い検知を優先すべきです。EDRおよび脅威ハンティングチームは、ISOのマウント、PIFの実行、偽装されたPDFファイル名、explorer.exeにおけるリモートメモリ割り当て、そして不審なクラウドストレージAPI通信を関連付けて分析する必要があります。

IoC(侵害指標) 

指標の種類 説明
MD5ハッシュ e5c9bb3938f2a24e755ee39073fc3aca ファイルハッシュ
C2サーバー 5.180.208[.]57 コマンド&コントロールIPアドレス
C2サーバー 5.180.208[.]60 コマンド&コントロールIPアドレス
C2サーバー 89.147.101[.]197 コマンド&コントロールIPアドレス
C2サーバー 89.187.161[.]220 コマンド&コントロールIPアドレス
C2サーバー 160.238.37[.]95 コマンド&コントロールIPアドレス
C2サーバー 160.238.37[.]100 コマンド&コントロールIPアドレス

注: 誤ってアクセスやハイパーリンク化されることを防ぐため、IPアドレスおよびドメインは意図的に無効化表記(例: [.])としています。再度有効な表記に戻す際は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。

2019年のSOC向けに書かれたSLAはもう卒業しませんか——2026年版AI SLA ベンダーチェックリスト ―― AI SOC SLAガイドを無料ダウンロード

NetworkSecurity

翻訳元: https://gbhackers.com/operation-capsule-vault-uses-iso-files/

ソース: gbhackers.com