2026年1月中旬、セキュリティチームは企業環境内で異常な活動を検知しましたが、当初は警戒すべきものには見えませんでした。兆候は微妙で、ウイルス対策ソフトなどの標準的なエンドポイント保護ツールからはアラートが発報されませんでした。
この事象は、より深い調査により高度な多段階サイバー攻撃であることが判明するまで、取るに足らないものに見えました。この種の目立たない一方で影響の大きい侵入は、データの完全性と信頼に依存する組織にとって重大なリスクを伴います。
CyStackの調査は、カスタマーサポートチーム内の1台のワークステーションに焦点を当てました。一連の出来事は、サポート担当者がZendeskのチケット内のリンクをクリックしたことから始まり、その結果、不審な.pifファイルがダウンロードされ実行されました。
そのファイルは一見無害に見えましたが、実際には.pif拡張子を装った実行可能ファイルでした。これは、拡張子が既定で非表示になっている現代のシステムでは見落とされがちです。
ダウンロードされたファイル(ドロッパーと呼称)は一連の操作を開始し、攻撃者が追加の悪意あるペイロードをシステムにインストールして実行できるようにしました。
このファイルは配布時点でデジタル署名されており、正当性の層が加わることで、評判ベースのスキャナーやSmartScreenフィルターといった標準的なセキュリティチェックを回避する助けとなりました。
攻撃は非常にステルス性が高かったものの、犯行者が悪意ある活動を通常のシステムプロセスに紛れ込ませることで、いかなる警報も発生させないようにしていたことは明らかでした。
マルウェアが他のシステムへ横展開した証拠はありませんでした。しかし、この攻撃の設計からすると、検知されないまま放置されれば、脅威アクターが侵害範囲を容易に拡大できた可能性があります。
Cystackによると、この攻撃はコマンド&コントロール(C&C)インフラにまで追跡され、APT-Q-27(別名GoldenEyeDog)に関連する既知の活動と密接に一致する複数の指標が確認されました。
APT-Q-27によるものだと断定はできなかったものの、類似点は懸念を抱かせるほど顕著でした。
主要な指標には、C2インフラ内の命名規則、バックドアのモジュール設計、そして過去のAPT-Q-27キャンペーンの特徴である多段階アーキテクチャが含まれていました。
特に、C&Cサーバーは香港、日本、米国など複数の地域に分散しており、高度持続的脅威(APT)作戦でしばしば観測される地理的分散と一致していました。
攻撃者はupdat.logというファイルを使用しており、これは暗号化されたペイロードを運搬するために設計されたコンテナで、過去のAPT-Q-27キャンペーンで見つかったものと類似していました。
さらに攻撃者は、プラグインベースのバックドアアーキテクチャを採用し、必要に応じてさまざまな攻撃機能を有効化または無効化できるようにしていました。
翻訳元: https://cyberpress.org/apt-q-27-evades-corporate-defenses/