Source: https://thehackernews.com/2025/06/silver-fox-apt-targets-taiwan-with.html
🛡 概要
サイバーセキュリティ研究者は、台湾のユーザーをターゲットにした新たなフィッシングキャンペーンを警告しています。このキャンペーンは、HoldingHands RATやGh0stCringeなどのマルウェアファミリーを使用しており、特に台湾の国税局を偽装したフィッシングメッセージを通じてWinos 4.0マルウェアフレームワークを配布しています。FortinetのFortiGuard Labsが報告したところによれば、同じ脅威アクターであるSilver Fox APTがマルウェアを含むPDFドキュメントやZIPファイルをフィッシングメールを介して配布していることが確認されています。
🔍 技術詳細
この攻撃の出発点は、税金や請求書、年金に関連する内容で受信者を誘導するフィッシングメールです。このメールには、埋め込まれた画像をクリックするとマルウェアがダウンロードされる仕組みがあり、PDFファイル内にはZIPアーカイブをホストするダウンロードページへのリンクが含まれています。ZIPファイル内には、いくつかの正当な実行ファイル、シェルコードローダー、暗号化されたシェルコードが存在します。この多段階感染シーケンスは、シェルコードローダーを使用してシェルコードを復号し実行することで進行します。DLLサイドローディング技術を利用して、合法的なバイナリによってサイドローディングされたDLLファイルが使用されます。中間ペイロードは、マルウェアが妨げられることなく感染したホスト上で実行されるように、VM対策や特権昇格を組み込んでいます。最終的には、コマンド&コントロール(C2)機能を実装する「msgDb.dat」が実行され、ユーザー情報の収集や追加モジュールのダウンロードが行われます。
⚠ 影響
この攻撃は、台湾の個人や企業に対して深刻な影響を及ぼす可能性があります。特に、税金や金融情報に関連するフィッシングメールは、受信者が信頼する情報源からのものであるため、開封されやすくなっています。Silver Fox APTによる攻撃は、長期的なデータ窃盗やシステムへの侵入を目的としており、企業の機密情報や顧客データが危険にさらされることになります。また、感染したシステムからはリモートデスクトップ機能を利用して、さらなる攻撃が行われる可能性もあります。
🛠 対策
この脅威に対抗するためには、まずフィッシングメールに対する警戒を強化することが重要です。企業は、従業員に対して定期的なセキュリティトレーニングを実施し、怪しいメールや添付ファイルを開かないように促すべきです。また、最新のアンチウイルスソフトウェアやファイアウォールを導入し、定期的にシステムをスキャンすることが推奨されます。さらに、システムのパッチを最新の状態に保つことで、攻撃者が利用する可能性のある脆弱性を減少させることができます。最後に、データバックアップを定期的に行い、万が一の際に迅速に復旧できる体制を整えておくことも重要です。
