TokyoBlackHatNews

gbhackers.com 5分で読了

脅威アクターがLNKファイルを悪用し、WindowsシステムにMoonPeakマルウェアを展開

特別に細工されたLNK(ショートカット)ファイルを使用し、韓国のWindowsユーザーを標的とする高度な3段階のマルウェア攻撃キャンペーン。

攻撃は、「실전 트레이딩 핵심 비법서.pdf.lnk」(「実戦トレーディング核心秘法書」)という名称の欺瞞的なLNKファイルから始まり、金融面の助言を求める韓国の投資家を狙って特別に作成されています。

このソーシャルエンジニアリング手法は、文書ファイルに対するユーザーの信頼を悪用しつつ、隠されたPowerShellスクリプト実行メカニズムを利用します。

ユーザーがLNKファイルを開くと、2つの動作が同時に発生します。正規ファイルであるかのような錯覚を維持するために囮のPDF文書が表示される一方で、難読化されたPowerShellスクリプトが隠しウィンドウで静かに実行されます。

Internet Initiative Japan(IIJ)のセキュリティ研究者は、2026年1月にこのキャンペーンを観測し、複数の回避技術を連鎖させてMoonPeakマルウェア(DPRK関連の攻撃者が運用しているとみられるXenoRATリモートアクセス型トロイの木馬の亜種)を配信する、これまで文書化されていなかった感染フローを明らかにしました。

PowerShellペイロードは、VMwareやVirtualBoxなどの仮想化環境の検出や、セキュリティ研究者が一般的に使用する50以上の解析ツールの検出など、重要な偵察および回避チェックを実行します。

監視対象のプロセス名には、dnSpy、IDA、x64dbg、Wireshark、Process Monitorなどが含まれており、防御側がマルウェアをどのように解析するかについて高度な理解があることを示しています。

監視対象のプロセスが検出されると、実行は直ちに終了し、動的解析を効果的に阻止します。

多段階配信

マルウェアは、ファイルベースの検知を回避するためにランダム化された一時フォルダとファイルを作成し、その後WScript.exeを用いたスケジュールタスク作成によって永続化を確立します。

初期のPowerShellスクリプトは、「hxxp://mid[.]great-site[.]net」にある攻撃者のコマンド&コントロール基盤と通信し、「/maith.php」へのPOSTリクエストを通じて、ホスト名、OSバージョン、プロセス一覧を含むシステム情報を送信します。

Image
一時フォルダ内に作成された悪意のあるPowerShellスクリプト (Source : IIJ).

第2段階のPowerShellスクリプトは、GitHubリポジトリ(macsim-gun/FinalDocuoctobor.docx)から偽装された実行ファイルをダウンロードし、GitHubを信頼された配信プラットフォームとして悪用します。これは「Living Off Trusted Sites」(LOTS)として知られる手法です。

ダウンロードされたファイルは、GZIP圧縮とヘッダー改変によって難読化されており、「Stella.exe」という名前の.NETアセンブリとして展開されます。

この実行ファイルがMoonPeakマルウェアであり、文字列やコードを暗号化して静的解析を無力化する高度な.NET難読化ツールであるConfuserExによって強力に難読化されています。

マルウェアは改ざん防止機能を実装しており、実行中にコードを動的に復号します。

解析の結果、マルウェアの設定にはミューテックス名「Dansweit_Hk65-PSAccerdle」が含まれ、C2サーバー「27.102.137[.]88:443」に接続することが判明しました。これは、Trellixによる2025年8月のMoonPeak解析レポートと整合する機能を維持しています。

新たに見られる脅威パターン

帰属を示す指標は脅威アクターを直接示しています。GitHubのコミットメール「sandamalmacsim@gmail[.]com」や、韓国語のファイル命名は、DPRK関連のオペレーターを示唆します。

Image
脅威アクターによって作成された悪意のあるGitHubリポジトリ Source : IIJ).

マルウェアの機能は過去のキャンペーンから変化しておらず、脅威アクターが進化する防御に対しても実証済みの手法を継続して活用していることを示しています。

組織は、LNKファイルの実行を監視し、アプリケーションのホワイトリスト化を実装し、PowerShellの実行ポリシーを制限すべきです。

エンドポイント検知・対応(EDR)ソリューションは、WScript.exeを介したスケジュールタスク作成や、異常なGitHub APIアクセスパターンに対してアラートを出すべきです。

GitHubリポジトリの監視と迅速なテイクダウン手順は、マルウェア配布を妨害するうえで引き続き重要です。ユーザーは、見覚えのないファイルに注意し、独立した経路で文書の出所を確認する必要があります。

このキャンペーンは、北朝鮮の脅威アクターが持続的な作戦遂行能力を有し、金融を標的とするベクトルに焦点を当て続けながら、配信メカニズムを進化させる意思があることを示しています。

IOCs

SHA256ハッシュ ファイル名
1553bfac012b20a39822c5f2ef3a7bd97f52bb94ae631ac1178003b7d42e7b7f 실전 트레이딩 핵심 비법서.pdf.lnk
aaac6eadac6c325bfc69b561d75f7cfd979ac289de1cc4430c5cc9a9a655b279 octobor.docx
8de36cb635eb87c1aa0e8219f1d8bf2bb44cad75b58ef421de77dd1aae669bf4 Stella.exe

翻訳元: https://gbhackers.com/lnk-files/

ソース: gbhackers.com
#DPRK(北朝鮮)系脅威アクター #GitHub悪用 #LNKファイル #LOTS(Living Off Trusted Sites) #MoonPeakマルウェア #PowerShell攻撃 #XenoRAT #多段階マルウェア #永続化(スケジュールタスク) #韓国の投資家標的

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚