Source: https://thehackernews.com/2025/10/from-healthkick-to-govershell-evolution.html
🛡 概要
中国に関連する脅威アクターUTA0388は、北米、アジア、ヨーロッパをターゲットにした一連のスピアフィッシングキャンペーンに関与しています。これらのキャンペーンは、GOVERSHELLと呼ばれるGo言語で作られたインプラントを配信することを目的としています。最初のキャンペーンは、実在するかのような架空の組織から送信されたメッセージでターゲットを欺くものでした。Volexityによると、これらの攻撃は時間をかけて信頼を築く手法を用いており、リンクをクリックさせることを狙っています。
🔍 技術詳細
これまでに確認されたGOVERSHELLのバリアントは5種類あり、それぞれ異なる機能を持っています。最初のバリアントHealthKickは、コマンドをcmd.exeで実行する能力を持ち、次のTE32、TE64はPowerShellを使用したコマンド実行を可能にします。特にTE64は、外部サーバーから新しい指示を取得する機能も備えています。また、WebSocketバリアントは未実装の「更新」サブコマンドを持ち、Beaconは基準ポーリング間隔を設定することができます。これらのマルウェアは、NetlifyやOneDriveなどの合法的なサービスを悪用してアーカイブファイルを配布しています。
⚠ 影響
UTA0388の攻撃は、アジアの地政学的問題に関心を持つ脅威アクターによるものであり、特に台湾に焦点を当てています。Volexityは、これらのキャンペーンが自動化された方法で実施されている可能性が高いと評価しています。最近の報告では、セビリアの政府機関やヨーロッパの他の機関も標的にされており、フィッシングメールから悪意のあるZIPファイルがダウンロードされる仕組みが明らかになっています。
🛠 対策
このような攻撃から身を守るためには、フィッシングメールのリンクをクリックしないことが最も重要です。また、セキュリティソフトウェアの導入や、定期的なシステム更新を行うことで、マルウェアの侵入を防ぐことができます。さらに、ユーザー教育を通じて、脅威を認識し、適切な対応を行うことが求められます。特に、信頼できない送信者からのメールには注意を払い、不審なリンクや添付ファイルを開かないようにしましょう。
