ハッカーは偽のセキュリティツールと巧妙に作成されたフィッシングメールを使用して、台湾の組織に対して新しいマルウェアファミリー「LucidRook」を密かに展開しています。
UAT-10362として追跡されるこのキャンペーンは、台湾のNGOおよびおそらく大学に焦点を当てており、高度な計画、隠蔽、および技術的な洗練さを示しています。
この作戦はスピアフィッシングメールに依存しており、合法的なメールインフラストラクチャを通じて送信され、ターゲットが信頼して開く可能性を高めます。
2025年10月、台湾のNGOへの1つのメールは、パスワード保護された暗号化されたRARアーカイブをダウンロードした短縮URLを使用し、パスワードはメッセージの本文に便利に含まれていました。
これらのアーカイブから、Talosは2つのマルチステージ感染チェーンを特定しました。どちらもセキュリティまたはクリーンアップツールとして見せかけていますが、最終的にLucidRookを展開しています。
Cisco Talosは、台湾の非政府組織(NGO)に対してスピアフィッシングキャンペーンを実施しているUAT-10362として追跡される活動のクラスターを発見しました。
1つの誘い文書は、本物のように見える台湾政府の手紙で、スタッフが中国への旅行を事前に承認して記録する必要があることを大学に思い出させ、攻撃者が地元の行政ワークフローに溶け込むのを支援しています。
この現実的なおとり文書は実行後に開かれ、マルウェアがバックグラウンドでインストールされている間、被害者を気を散らします。
LNKチェーン:LucidPawnドロッパー
最初のチェーンでは、アーカイブには悪意のあるLNKファイルが含まれており、PDFのように見えるようにされており、迅速な分析を妨害するために4つのネストされたフォルダを持つ隠されたディレクトリツリーがあります。
最も深いフォルダには、LucidPawnドロッパーDLL(DismCore.dll)、正当なDISM関連実行可能ファイル(install.exe)、およびおとり文書が保存されています。
被害者がLNKをクリックすると、Windowsモジュールディレクトリから隠されたパスからバイナリを起動するためにPowerShell Pesterビルドスクリプトを実行し、通常のシステムアクティビティのように見せるために文書化されたLOLBAS技術を悪用しています。
次に、DISMバイナリはDLL検索順序ハイジャックを通じてLucidPawnをサイドロードするために悪用されます。LucidPawnは、リネームされたDISM実行可能ファイル(msedge.exe)とLucidRookステージャーDLL(DismCore.dll)をWindowsAppsパスに復号化して書き込み、msedge.exeを指すStartup LNKで永続性を設定してから、DISMの実行可能ファイルを起動してLucidRookをロードします。
同時に、おとり文書をコピーし、元のおとりLNKを削除し、Microsoft Edgeでおとりを開いて、無害なファイルを開いたという幻想を維持します。
2番目のチェーンは、「Cleanup(密碼:33665512).7z」という名前のパスワード保護された7-Zipアーカイブ内で配信される単一の.NET実行可能ファイルを使用し、繁体字中国語を話すユーザーに合わせられています。
抽出されたCleanup.exeはTrend Micro Worry-Free Business Securityのふりをして、偽造されたアプリケーション名とアイコン、さらには偽造された将来のコンパイルタイムスタンプさえ備えています。
実行時に、C:\ProgramData内のディスクに3つの埋め込まれたBase64 BLOBをデコードします。正当なDISM実行可能ファイル、LucidRookステージャーDLL、および永続性のためのStartup LNKで、おとりとして「クリーンアップ完了」メッセージボックスを表示する前です。
台湾サイバー攻撃におけるLucidRook
LucidRook自体は、Lua 5.4.8インタープリターとRustコンパイルライブラリを埋め込んだ64ビットDLLであり、DLLをステージされたLuaバイトコードペイロード用の柔軟な実行プラットフォームに変えています。
Luaランタイムは追加の制御でラップされています。特に、マルウェアはpackage.loadlibを無効にする非標準の「セーフモード」を実装しています。
実行されると、詳細なホストデータを収集し、RSAとパスワード保護されたZIPを使用して暗号化し、FTP経由でコマンドアンドコントロールインフラストラクチャに流出させます。
同じFTPサーバーは、Luaバイトコードを含む暗号化されたアーカイブ(archive1.zip)を配信するために使用されます。LucidRookは、Luaバイトコードマジックヘッダーで始まることを確認した後、復号化して実行します。
コードベースは大幅に強化されています。文字列難読化はファイルタイプとC2詳細を隠し、ランタイムキー再構成を備えた2段階の難読化解除プロセスにより、自動アンパッキングが困難になります。
Luaペイロードを、侵害された、または「パブリック」FTPサーバー上に短命に保つことで、一部は顧客アップロード用の認証情報を公開している台湾の印刷会社に属するため、オペレーターは運用セキュリティを増加させ、フォレンジック可視性を低下させます。
LucidPawnドロッパーは、中国のアウトオブバンドアプリケーションセキュリティテスト(OAST)サービスに作成されたDNSクエリを通じて到達します。オペレーターに独自のビーコンインフラストラクチャを維持せずにネットワーク到達可能性とエクスプロイト成功を確認するシンプルな方法を提供します。
同時に、システムUIの言語をチェックし、台湾に関連する繁体字中国語ロケール(およびマスキングにより香港も)でのみ完全に実行され、一般的な英語サンドボックスと分析環境で静かに終了します。
関連サンプルの検索により、Talosはこのツールのみを削除するLucidPawnバリアントによって配信される仲間の偵察DLL「LucidKnight」に導きました。
LucidKnightはシステムインベントリを収集し、RSAで暗号化し、パスワード保護されたZIPにパッケージ化し、Rust lettre crateを使用してGmail経由で流出させ、中国の「スポーツ情報プラットフォーム」サブジェクト行を持つメッセージを使い捨てメールボックスに送信します。
LucidRookとの並行した使用は、UAT-10362が階層化されたツールキットを操作していることを示しており、高価値ターゲットにより重いLucidRookステージャーをデプロイするかどうかを決定する前に、軽量なプロファイリングにLucidKnightを使用しています。
合わせて、Luaベースのモジュラー設計、ランディング・オフ・ザ・ランド実行、偽のセキュリティブランディング、地域対象の分析防止、および階層化された暗号化は、規模でコモディティマルウェアをスプレーするのではなく、台湾の市民社会とアカデミックネットワークに操作を慎重に調整している成熟した、スパイ活動に焦点を当てたアクターを強調しています。
翻訳元: https://gbhackers.com/lucidrook-in-taiwan-cyberattacks/
