Source:https://thehackernews.com/2025/12/silver-fox-uses-fake-microsoft-teams.html
🛡 概要
中国を標的にする脅威アクター「Silver Fox」が、検索汚染(SEOポイズニング)で偽のMicrosoft Teams配布サイトへ誘導し、トロイ化インストーラからリモート操作型マルウェアValleyRAT(Winos 4.0)を展開していることが観測されています。ローダにはキリル文字を混在させる偽旗要素があり、ロシア系に見せかけることで帰属を攪乱します。対象は中国語話者を含む中国拠点の組織で、西側企業の現地拠点も含まれます。活動は2025年11月から継続中と報告されています。
🔍 技術詳細
攻撃は検索結果から偽サイトへ誘導し、ユーザーが正規に見えるTeamsのセットアップを入手する流れです。実体はAlibaba Cloud上のURLから取得されるZIP(例: MSTчamsSetup.zip)で、内部のSetup.exeはトロイ化されています。インストーラは以下を実施します。
- 実行中プロセスにセキュリティ製品(例:
360tray.exe)がないか走査 - Microsoft Defenderの除外設定を追加(検知回避)
AppData\Local\配下に改ざん済みのインストーラ(例:Verifier.exe)を書き込み実行- 追加ファイルを展開(例:
AppData\Local\Profiler.json、AppData\Roaming\Embarcadero\GPUCache2.xml、GPUCache.xml、AutoRecoverDat.dll) Profiler.jsonやGPUCache.xmlを読み込み、rundll32.exeに悪性DLLをロードしてメモリ内実行(LOLBins悪用)- 外部C2へ接続し最終ペイロード(ValleyRAT本体)を取得、遠隔操作・情報窃取・コマンド実行・持続化を実現
別系統として、トロイ化したTelegramインストーラを起点に、パスワード付きアーカイブとリネームした7-Zipを用いて二段階目を展開、men.exeが公開ユーザプロファイル下にコンポーネントを配置し、権限維持のため権限操作を行い、エンコード済みVBEスクリプトをタスクスケジューラで永続化します。さらに、署名済みだが脆弱なドライバを持ち込むBYOVD手法でNSecKrnl64.sysをロードし、セキュリティ製品のプロセス終了を試みます。bypass.exeによるUACバイパスで権限昇格を伴う持続化も確認されています。これら一連の挙動は、ユーザーの目には通常のインストール作業に見えますが、裏側では防御回避・ドライバ悪用・DLLサイドロード・スクリプト実行が連鎖します。
参考までに、BYOVDの類似手口で悪用された既知の脆弱ドライバ例として、Dellのdbutil_2_3.sys(CVE-2021-21551、CVSS v3.1: 8.8)が広く報告されています。本件で同CVEの悪用を示す証拠は提示されていませんが、手法としての類似性があります。
⚠ 影響
- 機密情報の流出(端末内ファイル、資格情報、業務データ)
- 遠隔操作による不正送金・詐欺・詐取など金銭被害
- 持続的な侵害拠点化による追加マルウェア展開・横展開リスク
- 誤帰属(偽旗)により対応・法的手続の遅延
🛠 対策
- ダウンロード対策: 正規配布元ドメインの厳格な許可リスト化、カテゴリ/レピュテーション型Web/DNSフィルタで偽配布サイトをブロック
- ASR/EDR強化:
rundll32.exeのネットワーク通信・スクリプト起動を制限、パスワード付きアーカイブの自動展開を抑止、未知のインストーラに隔離実行ポリシー - Defender保護: 改ざん防止(Tamper Protection)有効化、除外設定の変更を監査・アラート化
- ドライバ防御: Microsoft 脆弱ドライバブロックリスト、HVCI/WDACの適用、管理者権限でのドライバロード申請制
- 永続化対策: タスク作成の制御(署名済みスクリプトのみ許可)、公開ユーザプロファイル下への実行権限を厳格化
- ユーザー教育: 中国語ローカライズの偽インストーラやSEO誘導の実例を用いた疑似訓練
📌 SOC視点
- IOC/Artifacts:
MSTчamsSetup.zip、Verifier.exe、Profiler.json、Embarcadero\GPUCache*.xml、AutoRecoverDat.dll、men.exe、NSecKrnl64.sys、bypass.exe、NVIDIA.exe - イベント監査: 予定タスク作成(Security 4698/4702)、新規サービス/ドライバ導入(System 7045)、Defender設定変更(Windows Defender Operational 5007)、レジストリ変更(Sysmon 13)、ドライバロード(Sysmon 6)、不審なプロセス生成(Sysmon 1)、ネットワーク接続(Sysmon 3)、画像ロードで
rundll32.exe→不明DLL(Sysmon 7) - コマンドライン検知:
rundll32.exeでユーザ書き込み領域のDLLをエクスポート指定実行、schtasks.exeでVBE起動、Defender除外追加(MpCmdRun.exeやレジストリ...Windows Defender\Exclusions\) - ネットワーク: 初回取得元のクラウドストレージURL(Alibaba Cloud等)とC2の分離、HTTP(S)異常(不審SNI/JA3/ユーザエージェント)
📈 MITRE ATT&CK
- Initial Access: T1189 Drive-by Compromise(偽配布サイトへの誘導)
- Execution: T1204.002 User Execution: Malicious File(ユーザが偽Teams/Telegramを実行)
- Execution/Defense Evasion: T1218.011 Signed Binary Proxy Execution: Rundll32(
rundll32.exeでDLL実行) - Defense Evasion: T1562.001 Impair Defenses(Defender除外・セキュリティプロセス終了)
- Defense Evasion: T1036 Masquerading(キリル文字混在名・正規アプリ装い)
- Defense Evasion: T1027 Obfuscated/Compressed Files(パスワード付きアーカイブ)
- Defense Evasion: T1553.002 Subvert Trust Controls: Code Signing(署名済みだが脆弱なドライバの持ち込み)
- Persistence: T1053.005 Scheduled Task(VBEスクリプトで永続化)
- Privilege Escalation: T1548.002 Bypass User Account Control(
bypass.exe) - Discovery: T1057 Process Discovery(セキュリティ関連プロセス列挙)
- Command and Control: T1071.001 Web Protocols(HTTP(S)でC2)
- Exfiltration: T1041 Exfiltration Over C2 Channel(遠隔操作チャネルでの流出)
🏢 組織規模別助言
- 小規模(〜50名): 配布元の許可リスト化とDNSフィルタ、EDR/Defenderの既定強化(Tamper Protection/ASR)を優先。IT管理者の権限分離とローカル管理者の廃止。月次でタスク/ドライバの健全性点検。
- 中規模(50〜500名): WDAC/HVCIと脆弱ドライバブロックリストを展開。SaaSダウンロード制御(CASB/MDM)で実行形式取得を制限。KQLやSysmonでのハンティング手順書を運用化。
- 大規模(500名以上): ゼロトラスト(デバイス健全性と署名検証のポリシー適用)、TLS復号下でのC2検知、EDRでのLOLBin制御、ソフトウェア承認フローとサプライチェーン審査を統合。多言語の疑似訓練を四半期実施。
🔎 類似事例
- GootloaderのSEOポイズニングによる偽インストーラ配布
- トロイ化Telegram/Chromeインストーラを悪用する情報窃取型マルウェア配布事例
- BYOVD手法で脆弱ドライバを用いセキュリティを無効化する攻撃全般(例: CVE-2021-21551/CVSS 8.8は類似コンセプトの既知事例)
- LOLBins(
rundll32.exe)を介したDLL実行による防御回避
🧭 次の一手
- 即時点検: 端末で
MSTчamsSetup.zip、Verifier.exe、Profiler.json、Embarcadero\GPUCache*.xml、新規タスク(VBE起動)やNSecKrnl64.sysの存在を確認。Defender除外設定の差分を棚卸。 - 検知整備: 4698/7045/5007/Sysmon 1・3・6・7・13に対する相関アラートを整備し、
rundll32.exeの不審コマンドラインを高優先度で検出。 - 予防強化: WDAC/HVCI適用、ASRルールでスクリプト/LOLBinsの乱用を抑止。ダウンロード元の許可リストとユーザー教育を更新。
