TokyoBlackHatNews

gbhackers.com 4分で読了

偽の税務監査と更新がSilver Foxマルウェアキャンペーンを加速

Silver Foxとして知られる中国関連の脅威グループは、偽の税務監査通知とソフトウェア更新の誘いを使用して、アジア全域にマルウェアを配信する新しいサイバーキャンペーンを実行しています。

2022年以降活動している同グループは、当初は金銭的動機による攻撃に焦点を当てていましたが、2024年以降、サイバー犯罪とスパイ活動を組み合わせた二重目的の作戦へと進化しました。

同時に、被害者プロフィールは個人ユーザーからヘルスケア、金融、エンタープライズセクターの組織へと変わりました。

Silver Foxの最新キャンペーンは、高度にカスタマイズされたスピアフィッシングメールに大きく依存しています。台湾では、攻撃者は国税局になりすまし、現地の税務監査シーズンに合わせて攻撃を実行しました。

セキュリティ研究者はSilver Foxが中国を超えた地理的到達範囲を拡大し、台湾、日本、そして最近ではマレーシア、インドネシア、シンガポール、タイ、フィリピンを含む東南アジアをターゲットにしていると報告しています。

被害者は悪意のある添付ファイルを開いたり、複数段階の感染チェーンにつながるリンクをクリックするよう騙されています。

例えば、フィッシングメールはPDFまたはショートカットLNKファイルを含む可能性があり、MyQcloudなどの攻撃者が管理するクラウドインフラストラクチャから2段階目のペイロードのダウンロードを静かにトリガーします。

最近の2026年の活動では、研究者はPythonベースのデータスティーラーの展開を確認しました。このマルウェアは機密データを収集し、C:\WhatsAppBackup\WhatsAppData.zipなどのファイルに保存し、upload_large.phpなどのエンドポイントを介してリモートサーバーにアップロードします。

なりすまし詐欺とSEO汚染

このグループは、Surfshark、Signal、Telegram、Zoom、Microsoft Teamsなどの正規のソフトウェアプロバイダーを模倣した偽のウェブサイトを作成しています。

タイポスクワッティングドメインとSEO汚染を使用して、これらの悪意のあるサイトは検索エンジンの結果の上位に押し上げられます。正規のソフトウェアを検索しているユーザーは、知らないうちにトロイの木馬化されたインストーラーをダウンロードする可能性があります。

これらのチャネルを通じて配信される1つの主要なペイロードは、高度な機能を備えたリモートアクセストロイの木馬であるAtlasCross RATです。

これにより、攻撃者はtscon.exeなどのツールを使用してリモートデスクトップセッションをハイジャックし、ネットワーク内を横方向に移動できます。また、WeChat などの信頼されたアプリケーションに悪意のあるコードを注入して内部信頼関係を悪用することもできます。

Silver Foxはマルウェアとローダーの多様なツールキットを操作しています。主要なツールは以下の通りです:

  • ValleyRAT(Winosとしても知られている)、コアとなるリモートアクセストロイの木馬。
  • ステルスと永続性のためのNidhogg rootkit。
  • 段階的な配信のためのPNGPlugとCatenaローダー。
  • Gh0st RATとGh0stCringeの亜種。
  • 初期感染チェーンで使用されるCleverSoarインストーラー。

注目すべきことに、これらの攻撃に直接関連する特定のソフトウェア脆弱性は公開されていません。代わりに、グループはソーシャルエンジニアリングと実行技術に依存しています。

BYOVD技術がセキュリティを無効化

Silver Foxが使用する主要な技術戦術はBYOVD(Bring Your Own Vulnerable Driver)です。これは、正当に署名されているが脆弱なドライバーを展開して、ウイルス対策やEDRソリューションなどのエンドポイントセキュリティツールをオフにすることを含みます。

システム内に入ると、これらのドライバーにより、攻撃者はカーネルレベルで実行されているセキュリティプロセスを終了でき、より深い制御を得て、検出を回避できます。

典型的な攻撃は、偽の税務監査メールで始まります。被害者は添付ファイルを開き、マルウェアをダウンロードするローダーをトリガーします。

永続性のために正規のリモート管理ツールがインストールされ、その後、RATまたはデータスティーラーが展開されます。最後に、攻撃者は長期的なアクセスを維持しながら機密データを流出させます。

Silver Foxのキャンペーンは、心理的操作と技術的洗練を組み合わせる増加傾向を強調しており、個人と組織の両方に対して特に効果的です。

翻訳元: https://gbhackers.com/silver-fox-malware-campaign/

ソース: gbhackers.com
#APT #BYOVD #Silver Fox #スピアフィッシング #セキュリティ脅威 #ソーシャルエンジニアリング #データスティーラー #マルウェア #リモートアクセストロイ #東南アジア

関連記事

イタリアから米国へ身柄引き渡された「Silk Typhoon」ハッカー

Hugging Face LeRobotの脆弱性がリモートコード実行攻撃への道を開く

Checkmarx、GitHub リポジトリ流出事件を確認