記事本文(要約)
サイバーセキュリティ研究者は、偽のソフトウェアインストーラを使ってWinos 4.0フレームワークを配信するマルウェアキャンペーンを発見しました。Rapid7が2025年2月に初めて検知したこのキャンペーンでは、Catenaという多段階のメモリ常駐型ローダーが利用されています。Catenaはシェルコードを用いてペイロードをメモリ上で展開し、従来のウイルス対策ツールの検知を回避します。攻撃者が主に香港にあるサーバーと通信を行うことで、追加の指示やマルウェアを受信します。この攻撃は主に中国語圏を狙っており、Winos 4.0 (ValleyRAT)は、C++で書かれた高度なマルウェアフレームワークで、データ収集やリモートシェルアクセス、DDoS攻撃を行います。
2025年2月には、QQ Browserを装ったNSISインストーラを用いて、このフレームワークの配信が確認されており、マルウェアは特定のポートで通信を行います。また、このキャンペーンでは、LetsVPNのインストーラを装っており、マイクロソフトディフェンダーでドライブを除外するPowerShellコマンドを実行し、追加のペイロードをドロップする戦略が取られています。この攻撃者は非常に適応力が高く、中国語環境をターゲットにしており、Silver Fox APTとの関連が示唆されています。
※この要約はChatGPTを使用して生成されました。
公開日: Sun, 25 May 2025 13:06:00 +0530
Original URL: https://thehackernews.com/2025/05/hackers-use-fake-vpn-and-browser-nsis.html
詳細な技術情報
この文章では、2025年に発見されたマルウェアキャンペーンが詳述されています。このキャンペーンは、「Catena」という多段階のメモリ常駐ローダーを使用しており、不正なソフトウェアのインストーラーがLetsVPNやQQ Browserのような人気ツールを装って「Winos 4.0フレームワーク」を配信することを目的とします。
CVE番号
具体的なCVE番号は言及されていませんが、既知の脆弱性ではなく、攻撃キャンペーンそのものの新たな手法を示している可能性があります。
脆弱性の仕組み
- 多段階ローダー(Catena): 複数のフェーズにわたってペイロードをメモリ上に留めることにより、従来のウイルス対策ツールの検出を回避します。
- リフレクティブDLLインジェクション: DLLをメモリに直接ロードすることで、マルウェアの持続性を隠ぺいします。
- 証明書を用いた欺瞞: 有効期限が切れた、もしくは正規の証明書を利用してソフトウェアを偽装し、検出を回避します。
攻撃手法
- 偽装インストーラー: NSISインストーラーにトロイの木馬を組み込み、LetsVPNやQQ Browserのインストーラーを装います。
- ペイロードのメモリ常駐: Catenaのローダーを使い、Winos 4.0のようなペイロードをメモリ上に展開します。
- C2通信: ハードコードされたコマンド&コントロール(C2)サーバーへTCPポート18856及びHTTPSポート443を経由して通信を行います。
- 特定のターゲティング: 中国語環境を持つシステムを優先的に攻撃し、予定されたタスクを使って持続性を確保します。
潜在的な影響
- 情報漏洩: Gh0st RATの特徴を持つWinos 4.0により、データの収集や遠隔シェルアクセスが可能です。
- DDoS攻撃の基盤構築: コンピュータをボットネットの一部として使用することで攻撃を行います。
- 長期間の後方アクセス: メモリ常駐ペイロードを利用することで、持続的な攻撃が可能です。
推奨される対策
- セキュリティソフトの強化: メモリ上でのマルウェア活動を検出可能な高度なセキュリティソリューションを導入することが推奨されます。
- ソフトウェアの認証: ソフトウェアのインストーラーやアップデートを実行する前に認証することが重要です。特に証明書の有効期限を確認します。
- ネットワークの監視: C2サーバーへの通信を関知するため、ネットワークの通信パターンを監視します。
- ユーザー教育: 偽装メールや不審なソフトウェアのダウンロードを避けるよう、エンドユーザーへの教育を徹底します。
- 多層防御の実装: ウイルス対策、侵入検知システム、ファイアウォールなど、多層的なセキュリティアプローチを採用します。
