ハッカー集団が信頼されたファイル形式や軽量スクリプト環境を悪用し、検知を回避する手口を増やしています。今回新たに確認されたキャンペーンでは、Luaベースのローダーが利用されていました。
攻撃者はTrueType(.ttf)フォントファイルに偽装し、Remcos RAT、Agent Tesla、XWorm、Snake Keyloggerの亜種などのコモディティマルウェアを展開します。
Computer Drives & Storage
このキャンペーンは正規の企業やブランドになりすましたメールを使い、支払いに関連する口実で被害者に不安を煽り、悪意のあるアーカイブファイルを開かせようとします。
攻撃はフィッシングメールから始まり、悪意のある添付ファイルやダウンロードリンクが仕込まれています。
アーカイブを開くと、被害者は難読化されたJavaScriptローダーに遭遇します。このローダーは無駄なコードで水増しされ、制御フローの平坦化、文字列配列マッピング、改ざん防止技術によって保護されています。
ActiveXオブジェクトやファイルパスといった重要な文字列は、シグネチャベースの検知を回避するため、split-and-join操作を使って実行時に動的に再構築されます。
実行は条件分岐によるチェックを経てから行われ、スケジュールタスクによる永続化が確立されます。その際スクリプトは自身を%PUBLIC%\Librariesディレクトリにコピーします。
その後ローダーは、文字列の反転、区切り文字の除去、Base64デコードを組み合わせた多段階の処理を通じて埋め込まれたペイロードを抽出し、最終的にLuaJITやAutoItのインタープリターと、エンコードされたデータブロブをドロップします。

このキャンペーンにおける重要な革新点は、.ttfファイルをLuaスクリプトの格納コンテナとして悪用している点です。これらのファイルは実際にはフォントではなく、LuaJIT経由で実行される難読化されたLuaローダーです。
Fortinetの研究者はフィッシングを起点とする一連の攻撃を追跡しており、ファイルレス実行、多層の難読化、検知率の低いLuaJITローダーを組み合わせた手口であることを確認しています。
ドロップされたバイナリ内のメタデータの痕跡から、LuaJITコンポーネントと、そのForeign Function Interface(FFI)の存在が確認されています。このFFIによってネイティブAPIとの直接的なやり取りが可能になります。
偽装TTFファイルに潜むLuaローダー
Luaローダーは多層の復号パイプラインを採用しています。ハードコードされたペイロード文字列は、Base64デコードの前に反転され、記号の置換処理が施されます。

その後、ペイロードの先頭バイトから導出される動的キーを用いたカスタムのローテーション暗号が適用されます。この処理は94−first_byte−12894 – \text{first\_byte}という式に従い、復号後の出力が印字可能なASCII範囲内に収まるようにすることで、静的解析をより困難にしています。
さらに検知を回避するため、このローダーはランダムなデータで満たされたおとりのメモリ領域を確保し、識別可能なDonutシェルコードのシグネチャにパッチを当て、XORベースのメモリ内暗号化サイクルを適用します。
Data Management
実行は最終的に、保護された関数呼び出しを通じて行われ、ネイティブのC関数ポインタ経由でシェルコードを呼び出します。
2026年6月に確認された最新の亜種は、大幅な進化を遂げています。このローダーには、API unhookingやブレークポイントの無効化といったアンチデバッグ技術が組み込まれています。
また、ペイロードをアクセス不可としてマークされたメモリページに分割する、セグメント化されたシェルコード暗号化も実装しています。
実行はVectored Exception Handler(VEH)に依存しており、これがアクセス違反を検知し、必要なメモリセグメントをオンデマンドで復号した上で、実行権限を復元します。

この手法により、悪意のあるコードは実行時まで実質的に隠されるため、静的解析・動的解析の両方が困難になります。
最終的なペイロードはDonutシェルコードジェネレーターを使って配信され、リフレクティブローディングによりPEファイルをメモリ内で実行できるようにします。
これにより、マルウェアはディスクに触れることなく動作できるため、フォレンジック調査で残る痕跡を大幅に減らせます。Donutは過去のキャンペーンでも広く悪用されており、その一例としてFortinetが報告したPureHVNCの展開事例が挙げられます。
並行して観測されているキャンペーンでは、Luaの代わりにAutoItベースのローダーが使われています。この場合、攻撃者はAutoItインタープリター、スクリプト、エンコードされたペイロードをドロップします。
このスクリプトはcolorcpl.exeなどの正規プロセスをサスペンド状態で起動し、ntdll.dllの低レベル関数を使って復号済みのシェルコードを注入した上で、実行を再開します。
この手法は、G Dataが分析した過去のRemcosキャンペーンと共通しており、異なるローダー実装間で一貫した攻撃手口がうかがえます。
このキャンペーンは、Remcos RAT、Agent Tesla、XWorm、そして「Best Private LOGGER」と名付けられた亜種など、多岐にわたるコモディティマルウェアを配信します。
分析の結果、Best Private LOGGERはSnake Keyloggerを改変したものであり、Snake VIP Keyloggerのビルドとデータ収集モジュールおよびコード構造が同一であることが確認されています。
これらのペイロードにより、認証情報の窃取、キーストロークロギング、リモート制御、データ窃取を含む、システムの完全な侵害が可能になります。
Data Management
ビジネスメール詐欺(BEC)の手口や信頼されたブランドを悪用することで、感染成功率が大幅に高まっています。
2025年10月から2026年6月までのサンプルを追跡した結果、ローダーの複雑さが急速に進化していることが明らかになりました。初期の亜種は単純なROTベースのデコードとCreateRemoteThreadによるインジェクションに依存していましたが、新しいバージョンでは多層暗号化、VEHベースの実行、広範なアンチ解析ロジックが統合されています。
このキャンペーンは、攻撃者がLuaやAutoItといったスクリプト言語と、ファイルレス実行、そしてDonutのようなシェルコードフレームワークを組み合わせ、最新の防御を回避しようとする傾向が強まっていることを浮き彫りにしています。
.ttfのような無害に見えるファイル拡張子の悪用は、企業環境全体でより深いコンテンツ検査と振る舞い検知が必要であることを改めて示しています。
侵害指標(IOC)
| 種別 | 指標 |
|---|---|
| C2 IP:Port | 104[.]239.66.86[:]7004 urlscan |
| C2 IP:Port | 46[.]183.223.21[:]2404 urlscan |
| C2 IP:Port | 107[.]174.34.137[:]443 urlscan |
| C2 domain:Port | newremupdate[.]duckdns.org[:]2404 youtube |
| Email server host | mail[.]teamengineersgroup.com urlscan |
| Email server host | mail[.]allportcargoservice.com urlscan |
| Email server host | mail[.]trimnt.com urlscan |
| Email server host | mail[.]taikei-rmc-co.biz urlscan |
| URL (JS payload) | hxxps[:]//cdn[.]discordapp[.]com/attachments/1499192125093449759/1511147377979818074/F10097782_Request-9200090_0990[.]PDF[.]JS urlquery+1 |
| PDF hash (SHA-256) | 9674da676ee226ee456d35c774715d9b58655423806f281de19dc9ef899e9532 hybrid-analysis+1 |
注: IPアドレスおよびドメインは、誤ってアクセスされたりリンクが有効化されたりするのを防ぐため、意図的に無害化表記(例: [.])にしています。再度有効な形式に戻す作業は、MISP、VirusTotal、あるいは自組織のSIEMといった管理された脅威インテリジェンス基盤の中でのみ行ってください。
𝗔𝗜 𝗦𝗢𝗖 𝘃𝘀 𝗠𝗗𝗥 𝘃𝘀 𝗠𝗦𝗦𝗣 2026年、どちらが最適か? コスト、自動化、対応力を比較: 無料ガイドをダウンロード
翻訳元: https://gbhackers.com/lua-loaders-in-fake-ttf-files/