APT-C-60ハッカー集団、Proton Driveや開発者向けプラットフォームを悪用しSpyGlaceマルウェアを展開

脅威集団APT-C-60は、Proton Drive、悪質なWindowsショートカットファイル、そして信頼された開発者向けプラットフォームを利用する形で配布経路を刷新し、SpyGlaceマルウェアを展開しています。

JPCERT/CCが2026年に観測したこの活動は、悪質な通信をより正当なものに見せかけながら、日本国内の組織を標的とする同集団の攻撃を継続するものです。blogs.jpcert+1

このキャンペーンは、Proton Driveへのリンクを含む標的型フィッシングメールから始まり、RARアーカイブへと誘導します。

別の観測事例では、このアーカイブがメールに直接添付されていました。アーカイブには悪質なWindowsショートカット(LNK)ファイルが含まれており、被害者が開くと感染が開始します。

この悪質なLNKファイルは自らを複製し、正規のWindowsユーティリティであるmshta.exeを呼び出して、埋め込まれたJavaScriptを実行させます。

こうしたリビングオフザランド(環境寄生型)の手法により、攻撃者は悪質な活動を通常のWindowsプロセスに紛れ込ませることができます。これにより、単純なアプリケーションベースのブロッキングの有効性が低下する可能性があります。

難読化されたJavaScriptは、jsDelivrコンテンツデリバリーネットワークからcontributing[1].txtという名前のファイルをダウンロードします。

続いて、ダウンロードしたコンテンツを検索・デコード・抽出し、抽出したファイル群の中にある正規のgit.exeバイナリを使って次段階のスクリプトを実行します。

APT-C-60は2026年、正規の開発サービスの悪用範囲をさらに拡大しました。同集団はGitHub、GitLab、Codeberg、jsDelivrを攻撃コンポーネントのホスティングや配布のためのインフラとして利用しました。

これらのプラットフォームは開発者が日常的に使用しており、企業のファイアウォールやプロキシポリシーでもアクセスが許可されていることが多いのが実情です。これが検知上の課題を生んでいます。GitHubや公開CDNへの接続自体は、自動的に不審と判断されるものではないからです。

そのため、セキュリティチームは代わりに、リポジトリの評判、URLパス、通常とは異なるダウンロードパターン、エンドポイントのプロセスチェーン、そしてこれらのサービスから取得されたファイルの挙動を精査する必要があります。

今回のキャンペーンでは、Proton Driveも初期配布経路として利用されました。悪質なアーカイブがメッセージに直接添付されるのではなく外部にホストされるため、クラウドストレージへのリンクは一部のメールゲートウェイの制御を回避できてしまいます。

従業員は、予期しないクラウドストレージへのリンク、パスワード保護されたアーカイブ、LNKファイルをリスクの高いコンテンツとして扱うべきだと、JPCERTは指摘しています

組織は、LNKファイルを起点とする不審なmshta.exeの実行、一時ディレクトリやユーザー書き込み可能なディレクトリからの予期しないgit.exeの使用、そして開発者向けプラットフォームからのダウンロード直後に発生するスクリプト実行といった兆候を監視すべきです。

また、31.58.136[.]207、154.18.239[.]209、173.234.11[.]141を含む、特定済みのSpyGlace指令サーバー(C2)インフラについても、ブロックまたはアラート対象とすべきです。

APT-C-60の今回の活動は、脅威アクターがフィッシング、Windows標準ツール、クラウドストレージ、CDN、開発者向けサービスを組み合わせることで、いかに巧妙なマルウェア配布経路を構築できるかを示しています。

防御側は、ドメインのブロックのみに頼るのではなく、行動ベースの検知を優先すべきです。特に、信頼されたWebサービスが業務運営に不可欠な環境では、その重要性が一層高まります。

注: IPアドレスおよびドメインは、意図せぬ名前解決やハイパーリンク化を防ぐため、意図的に無害化表記(例: [.])としています。再有効化は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。

翻訳元: https://cyberpress.org/apt-c-60-deploys-spyglace-malware/

ソース: cyberpress.org