スピアフィッシングキャンペーン、Proton DriveリンクとLNKファイルを悪用しSpyGlaceを配布

APT-C-60脅威アクターは、日本の組織を狙ったスピアフィッシングキャンペーンを継続しています。今回の攻撃では、Proton Drive、Windowsショートカットファイル、信頼された開発者向けプラットフォーム、そしてWindows標準搭載のユーティリティを悪用し、SpyGlaceマルウェアを配布しています。

NetworkSecurity

このグループは、正規サービスの悪用やgit.exeを用いた悪意あるスクリプトの実行といった、これまでに確立された手口の多くを引き続き用いています。しかし今回の攻撃では、ファイル配布の手段としてProton Driveが新たに導入され、ペイロードのホスティングに使われるプラットフォームの種類も拡大しています。

最初の攻撃の糸口は、Proton Driveのリンクを含むスピアフィッシングメールとして届きます。被害者がリンクをクリックすると、RARアーカイブのダウンロードが促されます。このアーカイブには、悪意あるLNKショートカットを含む複数のファイルが格納されています。

このLNKファイルが実行されると、通常のWindowsの動作に紛れ込むよう設計された多段階の感染チェーンが始動します。

まずショートカット自身がコピーを作成し、続いてHTML ApplicationファイルやJavaScriptを実行できる正規のMicrosoftユーティリティであるmshta.exeを起動します。

LNKファイルには難読化されたJavaScriptコードが埋め込まれており、被害者がショートカットを開いた後に呼び出されます。これにより攻撃者は、信頼されたWindowsバイナリを通じて悪意あるロジックを実行できるようになります。

Image

このJavaScriptは、jsDelivrコンテンツデリバリーネットワークからcontributing[1].txtという名前のファイルを取得します。そして、ダウンロードした内容を検索し、デコード・抽出します。

JPCERT/CCによれば、今回のキャンペーンは、これまでの調査で追跡されてきたAPT-C-60の活動が進化したものだといいます。JPCERT/CCはまた、悪意あるファイルがProton Driveを経由せず、メールの添付ファイルとして直接配布された関連事例も確認しています。

抽出されたファイルには正規のgit.exeバイナリが含まれており、これが付随するスクリプトの実行に使われます。

この手法が注目に値するのは、侵入の初期段階で明らかに悪意あると分かる実行ファイルを持ち込むのではなく、正規のソフトウェアに依存している点です。

スピアフィッシングでProton Driveを悪用

実行されたスクリプトは、抽出先のディレクトリに保存された拡張子.dbのファイル群を結合し、ダウンローダーを組み立てます。

このダウンローダーは、GitHubを含む正規のオンラインサービスに接続し、追加のダウンローダーやローダーを取得・実行します。最終的なペイロードはSpyGlaceで、これはAPT-C-60の活動クラスターに関連するマルウェアです。

Image

JPCERT/CCは、202620262026年のキャンペーンにおいて、SpyGlaceのバージョンv3.1.15v3.1.15v3.1.15、v3.1.17v3.1.17v3.1.17、v3.1.18v3.1.18v3.1.18を確認しました。

研究者たちは、これらの亜種と過去に分析されたSpyGlaceのサンプルとの間に、機能面での大きな違いは見出していません。

しかし、配布チェーンやインフラの変化は、攻撃者が配布の信頼性を高め、企業の防御を回避しようと継続的に取り組んでいることを示しています。

今回のキャンペーンで特に注目すべきは、インフラ戦略です。APT-C-60はこれまでGitHubとBitbucketを悪用してきましたが、今回の活動ではGitLab、Codeberg、jsDelivrも利用しています。

Image

これらのプラットフォームは開発者に広く利用されており、企業のネットワークポリシーでも許可されていることが多いため、宛先ベースのブロックでは効果が薄くなります。

防御側がファイルのダウンロード、実行チェーン、不審な挙動の兆候を精査しない限り、これらのサービスへの通信は正規のものに見えてしまいます。

組織は、身に覚えのないクラウドストレージのリンク、RARアーカイブ、LNKファイルを高リスクとして扱うべきです。特に、身に覚えのないメールを通じて届いた場合はなおさらです。

セキュリティチームは、ショートカットファイルから起動されるmshta.exeの実行、CDNやコードホスティングサービスからのダウンロードに続くスクリプト実行、そして通常の開発ワークフロー以外でのgit.exeの異常な使用を監視すべきです。

Compliancemanagement tools

IOC

Content Filename Hash(SHA256)
Downloader1 iconcache.dat 48bb091e0cab562fe094e0ef6a77b434dba97380c09a707220cbd9ca37999484
Downloader1 iconcache.dat 5e97848bebf521766910d9c8378e98bf7aa1ce4b06aeb6c3f86c31ababbe9663
Downloader1 iconcache.dat 60972abf5425c191c81bae117f1dedaea13d39bc52f367d5dff9ad1aa4b9c5ca
Downloader1 iconcache.dat 71819a1b856b49e7f194ce60468ed8e5ea925c75d01484f4d28ffcf69d480b36
Downloader1 iconcache.dat 83a22d4f61b054bda53a2ea4f506e97d818c7c961d8cd3975c1f2a51443cf95c
Downloader1 iconcache.dat 866564bb455bb3c9f3e15cbbc1dcaf75c533a224eb96c4b6d6739e114ee1d065
Downloader1 iconcache.dat cc2a6a3b4b771aba341293d2321e5f7b70cf517403fe44a58635b043e8868bdb
Downloader1 iconcache.dat fa53663bfb80e197483e1a1bf123b94fa869e2d7f42b5fdfbff2869589b65a05
Downloader2 Cached2014.tmp 6b84eab2aac7754b99d04365a83ec374e3cea99cc3223118a5f8fd545a8483e5
Downloader2 Encoded_File.tmp 0bda4beded9c2923fe16f20b7cbd7baf1a5b7078be5cde715592529a974f9bd9
Downloader2 Encoded_File.tmp, inst.tmp a7981dfccd8e4bdc00133dc15b22472c1677d6270826863caa36e7d58ef50de0
Downloader2 a101.dat 1b25c3d56fdb195b427a9c3bfc1f0e98e77a15322e8d3fc53a18edcc4891847f
Downloader2 iconcache.dat 119ad3dce05b5ef3db5a76655ac050eac51e318f1f31351ac103693a0a849158
Downloader2 item.tmp 0420fd9e5f9961458604909391fb0f1a353c17c986b55fc5722c1b68e41865df
Downloader2 item.tmp 2952d72ad1d44f3d424600b8fa4076794e2e072ab46936012a5fb872c67ce189
Downloader2 job.tmp, akdjfiwnkd.tmp 3f2f69a8403e6b4e02ebe65448caf6abb8e2fbd1f7636ec71599f2d2d5fac8fb
Downloader2 newjob.tmp a9fd615fce38756ba6de8994f200e4b846397648138a9a0e6ef3b5952ef5e68c
Downloader2 reaconinst.tmp a4c8a56070fe6f613e79a14554d0a1dba2f70ce2b93319e72972943cc66edf4a
Downloader2 wincfg.db, Cached.tmp c4768d99445128c670a6f848bc69371872e4d6a2160dbe0073e62ffd786c94ee

注: IPアドレスおよびドメインは、誤って解決されたりハイパーリンク化されたりすることを防ぐため、意図的に無効化表記(例: [.])としています。再有効化は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。

2019年のSOC向けに書かれたSLAをそのまま受け入れるのはもうやめましょう――2026年版AI SLA ベンダーチェックリストはこちら ―― AI SOC SLAガイドを無料ダウンロード

ComputerSecurity

翻訳元: https://gbhackers.com/spear-phishing-uses-proton-drive/

ソース: gbhackers.com