目次
- イントロダクション
- 主要ターゲット。
- 影響を受ける業界。
- 地理的焦点。
- 感染連鎖。
- 初期の調査結果
- デコイ文書を調べる
- テクニカル分析
- ステージ1 – 悪意のあるLNKスクリプト
- ステージ 2 – 疑似多言語トリック: すべてが 1 つに。
- ステージ3 – 最終ペイロード: LOTUSHARVEST
- インフラストラクチャとアトリビューション。
- 結論
- Seqrite 保護。
- IOC
- MITRE ATT&CK。
- 著者
イントロダクション
SEQRITE Labs APT チームは世界中で脅威を追跡しており、最近、偽の履歴書疑似多言語タイプの文書を使用してベトナムの IT 部門と HR 採用担当者を標的としたキャンペーンを発見しました。 その他の研究者 同様の活動が見られました。私たちはこのキャンペーンを 「ハノイ泥棒作戦」 最終的なペイロードとその窃盗機能、そして履歴書に記載されている地理的位置がベトナムの首都ハノイ周辺であることから、この攻撃は疑似ポリグロットペイロードと呼ばれるファイル形式を主に利用し、悪意ある意図を隠蔽しています。
このブログでは、キャンペーンの行動から始まり、多段階にわたるキャンペーンの技術的分析を通して、感染チェーン全体を解説します。第一段階では、悪意のあるスピアフィッシングメールの添付ファイルとして送られてくるZIPファイルについて説明します。ZIPファイルには、ルアーと第二段階のペイロードの両方として機能するドキュメントファイルと、初期反応を引き起こすLNKファイルの2つのファイルが含まれています。その後、最終段階のペイロードであるC++ DLLインプラント(LOTUSHARVESTと名付けました)について説明します。これは、標的のマシン上でDLLサイドローディングによって実行されます。最後に、キャンペーンのインフラストラクチャやその他の詳細に焦点を当てます。
主なターゲット
影響を受ける業界
- 情報技術
- 人材紹介・人事会社
地理的焦点
- ベトナム
感染連鎖
初期の調査結果
当初、2025年11月3日に、私たちのチームはLe-Xuan-Son_CV.zipという悪質なスピアフィッシングZIPファイルを発見しました。これは、私たちのプライベートテレメトリと、 VirusTotalのZIP アーカイブには 2 つのファイルが含まれています。
最初のファイルはCV.pdf.lnkというLNKファイルです。2つ目のファイルは、擬似ポリグロットペイロードと呼ばれるoffsec-certified-professional.pngというファイルで、ルアーとしてだけでなく、.bat(batch)スクリプトペイロードのコンテナとしても機能します。では、まずデコイルアーについて見ていきましょう。
デコイ文書を調べる
汎用PDFパーサーまたはドキュメントビューアでPDFを実行すると、「レ・スアン・ソン"。
調査時点では、ルアーの内容を精査した結果、キャンペーン配信を目的として設計されていると考えられます。この人物はソフトウェア開発者の職に応募しているようですが、以前確認したファイル名は「offsec-certified-professional」であり、情報セキュリティ分野に属しています。ZIPファイルで入手可能な履歴書はソフトウェアエンジニアリングの専門家のものであることから、被害者学に関する懸念が生じます。
さて、前述のように、被害者の信頼を得て、被害者の信用を確立し、ソーシャルエンジニアリングの動機を強化するために、脅威アクターは2021年に作成されたアカウントのGitHub URLも添付しました。履歴書には応募者の所在地が記載されています。 ハノイ、ベトナム.
履歴書に記載されている GitHub プロファイルを調べたところ、アカウントには更新やアクティビティが見られないことがわかり、このフィッシング キャンペーンのために特別に設定された可能性が高いことがわかりました。
次のセクションでは、LNK ファイルがどのように多言語ペイロードを実行し、結果として生じる悪意のある DLL ファイルがどのように動作するかを調べます。
テクニカル分析
分析は3つのセクションに分かれています。まず、悪意のあるショートカット(.LNK)ファイルを検証します。次に、疑似ポリグロットとも呼ばれる第2段階の分析に進み、ショートカット(.LNK)ファイル内に存在する悪意のあるコマンドラインが、疑似ポリグロットを実行するための独自の方法をどのように利用しているかを検証します。最後に、LOTUSHARVESTと呼ばれるDLLインプラントに焦点を当てます。そして、別のセクションでは、インフラストラクチャなど、キャンペーンの詳細な内容に焦点を当てます。
ステージ1 – 悪意のあるLNKスクリプト
ZIP ファイルを解凍すると、最初に実行されるドキュメントは LNK ファイルであり、これが 2 番目のステージャー疑似ポリグロット ペイロードの実行を担当します。
ここで、LNK の詳細を確認すると、コマンドライン引数の下に興味深いパラメータが見つかりました。これは、ftp.exe を使用して疑似ポリグロット ファイルを実行するもので、-s というフラグが使用されています。LNK ファイルの実行時に、画面に再開が表示され、その一方で、次の部分で説明するバッチ スクリプトが LOLbin ftp.exe を使用して実行されます。
さて、これを LOLBIN の悪用と呼ぶのは、TTP 指向の非常に単純な動作ではありません。これについては次のセクションで説明します。
ステージ 2 – 疑似多言語トリック: すべてが 1 つに。
まず、プレーンテキストファイルとされているファイルタイプを調べてみると、複数のファイルパーサーによってプレーンテキストファイルとして解析・判別されているのに対し、PDFファイルパーサーはそれをPDFファイルとして分類し、処理・生成しています。そのため、混乱を避けるため、一般的な16進エディタを用いて推測しました。
バイナリエディタを調べたところ、PDF Magicヘッダーが出現する前に実行される悪意のあるスクリプトが含まれていることが判明しました。そのため、スクリプトを抽出しました。
さて、ここで少し興味深い、しかし単純な部分があります。 セキュリティ研究者 数年前に実際に悪用されたftp.exeは、FTPサーバーに接続してダウンロードやデータ流出などのコマンドを実行するために使用されていましたが、今回のキャンペーンでは、FTPバイナリがローカルマシン上で!記号付きのコマンドを実行することが確認されました。つまり、ftp.exeバイナリは標的マシン上で上記のコマンドまたはスクリプトを実行したのです。
さて、スクリプトを詳しく見てみると、まずDeviceCredentialDeployment.exeと呼ばれるLOLBINを悪用します。これは基本的に 隠れていた cmd.exe バイナリを攻撃します。さらに、スクリプトのコマンドを調べると、certutil.exe バイナリが列挙され、その名前が lala.exe に変更されます。次に、バッチスクリプトはまず offsec-certified-professional.png というファイルの名前を CV-Nguyen-Van-A.pdf に変更し、ファイルエクスプローラーを起動して、被害者に偽の PDF を表示します。
次に、スクリプトは疑似ポリグロットファイル内のコンテンツに埋め込まれたペイロードのBase64エンコードされたデータBLOBを検索します。そして、このエンコードされたデータを抽出してデコードし、MsCtfMonitor.dllというDLLファイルを作成して、以下の場所に配置します。 C:\ ProgramData ディレクトリ。これを LOTUSHARVEST インプラントとして追跡します。
このスクリプトは、System32フォルダにある元のctfmon.exeファイルをDLLファイルと同じ場所にコピーし、実行します。デコードされたDLLはMsCtfMonitor.dllという名前で、これは以下のライブラリファイルによってインポートされます。 ctfmon.exe バイナリDLL 検索の順序に従って、Windows は最初に実行可能ファイルと同じフォルダーをチェックし、そこからその DLL をロードします。そのため、DLL サイドローディングが行われます。
次のセクションでは、キャンペーンの最終的なペイロードである、LOTUSHARVEST と呼ばれる悪意のある DLL インプラントの動作を調べます。
ステージ3 – 最終ペイロード: LOTUSHARVEST
当初、ファイル解析ツールで確認したところ、いつものように64ビットPEバイナリであることが判明しました。また、DLLを解析したところ、ペイロードが情報窃取ツールとして機能することが判明しました。このブログの次のセクションでは、その機能について詳しく説明します。
さて、このインプラントのコア機能と特徴について詳しく説明する前に、興味深いPDBパスを発見しました。TAはこれをDEV-LOADERとラベル付けしていますが、私たちはこれをLOTUSHARVESTERとして追跡しています。
分析対策チェック
このインプラントは、プログラムが仮想環境で実行されているかどうかをチェックし、その状態を検出すると強制的にクラッシュさせるなど、いくつかの分析回避手法を採用していることが分かりました。その他にも次のような手法があります。
プロセッサ機能が存在するかどうか: 特定の CPU 機能をチェックし、見つかった場合は、最新の CPU、VM、または保護された環境での実行を回避するための分析対策として、直ちに高速フェイル終了をトリガーします。
デバッガが存在するかどうか: ユーザー モード デバッガーが接続されているかどうかを確認する非常に一般的な手法です。デバッガーが検出されると、プログラムはクラッシュします。
偽の例外: プログラムは、偽の例外と偽のCPU状態を生成することで偽のクラッシュを演出し、コードが「実行されている」と想定される場所(RIP/RSP)を変更した後、UnhandledExceptionFilter()に渡します。これによりデバッガーが騙され、コールスタックが混乱し、プログラムが実際に行っている動作が隠蔽されます。
さて、次に、インプラントがブラウザベースの資格情報の収集に重点を置く部分に進みます。
ブラウザ履歴と保存された認証情報の収集
ここで、DoMsCtfMonitor と呼ばれる別のエクスポートに、特定の機能を実行する悪意のあるコードが含まれていることがわかりました。
悪意のある関数を調査した結果、2つの主要なルーチンが特定されました。1つは認証情報の収集に特化したルーチン、もう1つは収集したデータの持ち出しを担うルーチンです。このDLLインプラントは主に情報窃取マルウェアとして動作するため、本セクションで説明するように、ブラウザ関連の機密情報を抽出することに主眼を置いています。
インプラントは Google Chrome、Microsoft Edge などのブラウザーをターゲットにしていることがわかります。まずファイルを開いて内容を読み取り、次に収集したファイルの内容に基づいて、インプラントは GetComputerNameA や GetUserNameA などの関数から返された被害者のコンピューター名とユーザー名を添付してからデータの抽出を開始し、脅威アクターの側で一意のエントリを作成します。
上記のコード断片では、マルウェアがブラウザのSQLiteを開いていることが分かります。 沿革 データベースから最近アクセスした 20 個の URL を抽出するクエリを実行し、その結果を URL、ページ タイトル、アクセス回数、最終アクセス時刻を含む JSON 配列としてフォーマットします。
次に、 ログインデータ データベースにアクセスし、保存されているログイン資格情報を最大 5 つ読み取り、従来の CryptUnprotectData API を使用して各パスワードの暗号化解除を試みます。
データ漏洩
次の関数では、インプラントがWindows WinINet APIを使用してデータを盗み出すことが確認されました。HTTPセッションを開き、攻撃者が管理するサーバーeol4hkm8mfoeevs.m.pipedream.netにポート443経由で接続します。接続を確立した後、/serviceエンドポイントにPOSTリクエストを発行し、窃取したブラウザ情報をJSONペイロードとして送信します。
さて、次のパートでは、キャンペーンに関連するインフラストラクチャの詳細を見ていきます。
インフラストラクチャとアトリビューション
分析の結果、ペイロードが複数の外部ホストエンドポイントと通信していることがわかりました。特定されたドメインの一つはuuhlswlx[.]requestrepo[.]comで、これはランダムに生成されたサブドメインです。一方、eol4hkm8mfoeevs[.]m[.]pipedream[.]netもランダムに生成されたサブドメインであり、主に収集した認証情報の流出に使用されていました。以上が、このインプラントに関連するインフラストラクチャの詳細の概要です。
さて、非常に基本的な OSINT 検索を使用して、TA が偽の履歴書で使用した連絡先番号 +84912345678 が、ハノイ市内の優良店のものであるという事実にも遭遇しました。ただし、多くの場合、さまざまな場所に間違った、または偽の連絡先番号が設定されているため、具体的な番号であるとは言えません。
そうですね、帰属指向の詳細に焦点を当てるには、戦術、技術、手順の再利用、インフラの再利用、被害者学など、複数のパラメータに関する具体的な証拠が必要です。以前から見てきたように、2025年3月頃には、 中国政府が支援する脅威グループがベトナムを標的に 偽の CV ベースのルアーでは、ルアーの名前が CV-Nguyen-Lam-San-Xuat-Noi-Dung-Compress.pdf であることが目立っていますが、この同じキャンペーンでは、ルアーの名前が `CV-Nguyen-Van-A であることも確認されています。同様の命名法が使用されていたため、両方のキャンペーンを同じ脅威エンティティの同様のクラスターに帰属させる確信はわずかにあります。
両方のキャンペーン間で共通して見られる、しかし単純なもう 1 つの重複は、インプラントを配信するためにランダムな DGA 指向のドメインが使用されていることです。また、両方のキャンペーンでコマンド アンド コントロール (C2) サーバーが使用されており、これもまた、両方のキャンペーンの帰属にわずかな確信を与えています。そして最後に、両方のキャンペーン間の類似点は、同様の被害者学、つまりターゲット ソフトウェアと採用業界を使用していることです。
現在、研究者として、私たちは、重複部分だけでなく、類似しない固有のアーティファクトにも、私たちのバイアスが関係しているはずだと考えています。この場合、脅威の攻撃者が、情報窃盗プログラムのような機能を持つ LOTUSHARVEST インプラントを展開していたことがわかります。これは、中国政府が支援するこのマルウェアは DLL サイドローディングを悪用しているものの、PlugX などのよく知られたインプラントを展開しているため、情報窃盗プログラムを考慮すると、矛盾した固有の指標になるのではないかという懸念を引き起こします。
したがって、これまでに目撃した脅威キャンペーンとその TTP などとの重複と相違点に中程度の確信を持って焦点を当て、この脅威エンティティは中国起源であると特定することにしました。ただし、現時点では、これを国家の支援によるものと分類するには、まだ他の重要な指標が必要です。
結論
SEQRITE APTチームは、「Operation Hanoi Thief」をベトナムのITおよび人材紹介業界関係者を狙ったスピアフィッシング攻撃と特定しました。偽の履歴書やショートカットファイルを用いて被害者を騙し、信頼されたWindowsツールを悪用して隠しスクリプトを実行します。最終的なペイロード「LOTUSHARVEST」は、ブラウザの認証情報と履歴を盗み出し、攻撃者のサーバーに送信するDLLインプラントです。この攻撃の戦術と以前の活動との重複から、中国系攻撃者が関与していることが示唆されますが、国家による支援の有無は確認されていません。
Seqrite 保護
- トロイの木馬.50086.SL
- トロイの木馬A18678918
- 用途
IOC
| ハッシュ(SHA-256) | マルウェアの種類 |
| 1beb8fb1b6283dc7fffedcc2f058836d895d92b2fb2c37d982714af648994fed | ZIPファイル |
| 77373ee9869b492de0db2462efd5d3eff910b227e53d238fae16ad011826388a | LNKファイル |
| 693ea9f0837c9e0c0413da6198b6316a6ca6dfd9f4d3db71664d2270a65bcf38 | 疑似ポリグロットペイロード(PDF、バッチ) |
| 48e18db10bf9fa0033affaed849f053bd20c59b32b71855d1cc72f613d0cac4b | DLLファイル |
MITER ATT&CK
| 戦略 | テクニックID | 技名 |
| 初期アクセス | T1566.001 | スピアフィッシング添付ファイル |
| リソース開発 | T1587.001 | ペイロードの開発:マルウェア |
| 実行 | T1204.002 | ユーザーの実行:悪意のあるファイル |
| T1218 | 署名付きバイナリプロキシ実行 | |
| 防衛回避 | T1036.007 | 偽装:誤解を招くファイル拡張子 |
| T1140 | ファイルの難読化を解除する | |
| 権限昇格 | T1574.002 | DLLサイドローディング |
| プーケットの魅力 | T1082 | システム情報の発見 |
| T1012 | ブラウザデータのファイルシステム検出 | |
| クレデンシャルアクセス | T1555.003 | パスワード ストアからの認証情報 |
| 収集 | T1005 | ローカルシステムからのデータ |
| exfiltration | T1041 | C2チャネルを介した浸透 |
| コマンドおよび制御 | T1071.001 | ウェブプロトコル: HTTPS |
著者
- スバジート・シンハ
- プリヤ・パテル
