Cisco Talosのサイバーセキュリティ専門家は、台湾の組織を標的とした極めて標的化されたスピアフィッシング攻撃を発見しました。
2025年10月に発見されたUAT-10362として追跡されているハッカーグループは、偽のセキュリティツールと政府の囮文書を使用して、LucidRookとして知られている新しい複雑なマルウェアを配布しました。
攻撃者は疑いを招かないために正規のメールシステムを通じてメールを送信しました。これらのメールにはパスワード保護されたアーカイブへのショートリンクが含まれており、パスワードはメール自体に隠されていました。
被害者がダウンロードしたアーカイブを開くと、感染を開始するファイルをクリックするようにだまされます。攻撃者はシステムに侵入するために2つの主な方法を使用しました。
最初の方法は、偽のフォルダの内部に深く隠されたショートカット(LNK)ファイルを使用します。クリックされると、LucidPawnと呼ばれるドロッパープログラムを密かに実行します。
被害者を気を散らすために、中国への渡航規則に関する偽造された台湾政府文書など、偽の文書を開きます。舞台裏では、マルウェアは通常のWindowsプロセスの内部に隠れることでシステムに忍び込みます。
2番目の方法は、人気のセキュリティ製品Trend Micro Worry-Free Business Securityになりすまし悪意のある実行可能ファイル(EXE)を使用します。
ハッカーはアプリケーションの名前とアイコンを偽造して、完全に安全に見えるようにしました。実行されると、この偽のセキュリティツールはコンピュータにLucidRookマルウェアをインストールします。疑いを避けるために、偽の「クリーンアップ完了」メッセージを表示します。
LucidRookは組み込みプログラミングインタープリターを含む高度なツールです。これにより、攻撃者はいつでも感染したコンピュータに新しいカスタム指示を簡単に送信できます。
これらの指示はメモリに保持され、サーバからすぐに削除されるため、セキュリティ専門家が攻撃者が正確に何をしているのかを把握することは非常に困難です。
興味深いことに、ハッカーは盗まれたデータを受け取るために独自のサーバを構築しませんでした。代わりに、誤ってパスワードをオンラインで公開している地元の台湾の印刷会社に属する公開ファイル共有(FTP)サーバを乗っ取りました。
LucidRookに加えて、研究者はLucidKnightと呼ばれる関連するスパイツールを発見しました。
LucidRookが乗っ取られたサーバを使用する一方、LucidKnightはシステム情報を収集し、隠されたGmailアカウント経由で攻撃者にそっと電子メールで送信する軽量ツールです。
全体的に、慎重な計画、偽のセキュリティツール、および地元サーバの使用は、これが台湾の特定のグループを標的としながら検出されないことに焦点を当てた高度に組織された攻撃であることを示しています。
翻訳元: https://cyberpress.org/fake-security-spreads-lucidrook/