Silver Fox APT Uses Winos 4.0 Malware in Cyber Attacks Against Taiwanese Organizations
2025/02/27 TheHackerNews — 台湾で新たに発見された攻撃キャンペーンは、同国の国税局を装うフィッシング・メールに潜ませた、Winos 4.0 という名のマルウェアにより、企業を狙うものだ。2025年1月に、この攻撃を検出した Fortinet FortiGuard Labs は、悪意のゲーム関連アプリケーションを介していた、それまでの攻撃チェーンからの脱却を示していると指摘している。
Fortinet のセキュリティ研究者である Pei Han Liao は、「悪意のメールの送信者は、添付されるファイルは税務調査が予定されている企業のリストだと欺き、そのメールを財務担当者へと転送するよう受信者に求めていた」と、The Hacker News に共有されたレポートで述べている。
この添付ファイルは台湾の財務省の公式文書を模倣しており、税務調査が予定されている企業のリストをダウンロードするよう、受信者に促している。
しかし、実際には、このリストは悪意のある DLL “lastbld2Base.dll” を取り込んだ ZIP ファイルである。このファイルが次の攻撃段階の土台となり、リモート・サーバ “206.238.221[.]60” からの Winos 4.0 モジュールのダウンロードと、機密データを収集するシェルコードの実行につながる。
このログイン・モジュールと呼ばれるコンポーネントは、さまざまな悪意の機能を備えている。具体的には、スクリーン・ショットの撮影/キー入力の記録/クリップボード内容の記録/接続される USB デバイスの監視/シェルコードの実行に加えて、Kingsoft Security/Huorong からのセキュリティ・プロンプトが表示されたときに、機密アクション (例: cmd.exe) の実行を許可する機能などが挙げられる。
Fortinet は、「WeChat やオンライン・バンクのスクリーンショットをキャプチャするための、オンライン・モジュールをダウンロードする、2番目の攻撃チェーンも確認した」と述べている。
Winos 4.0 マルウェアを配布する侵入セットには、Void Arachne/Silver Fox という名前が付けられている。このマルウェアは、ValleyRAT として追跡されている、別の RAT とも重複していることに注目が集まる。
Forescout Vedere Labs の Head of Security Research である Daniel dos Santos は、「この二系統のマルウェアは、中国で開発されたものであり、同じソースを持っている。2008 年にオープンソース化された、Gh0st RAT から派生したものだ」と指摘している。
彼は、「Winos と ValleyRAT は、別の研究者グループが、Silver Fox との関連を指摘した、Gh0st RAT のバリエーションである。2023年〜2024年には、Winos という名前が使用されていたが、現在は、ValleyRAT の方がよく使用されている。この悪意のツールは常に進化しており、ローカル/リモートでのトロイの木馬と Command and Control (C2) サーバを備えている」と、The Hacker News に語っている。
2023 年初頭に特定された ValleyRAT だが、最近の傾向としては、偽の Chrome サイトを感染の経路として悪用し、中国語圏のユーザーを標的にすることが確認されている。同様の Drive-by Download スキームは、Gh0st RAT の配信にも用いられている。
さらに、Winos 4.0 攻撃チェーンには、偽のソフトウェアやゲームとして配布される MSI インストーラー・パッケージを実行する、CleverSoar インストーラーと呼ばれるものも組み込まれている。また、CleverSoar 経由でドロップされるものは、Winos 4.0 だけではなく、オープンソースの Nidhogg ルートキットもある。
また、2024年1 月下旬の時点で Rapid7 は、「CleverSoar インストーラーは、ユーザーの言語設定をチェックして、中国語またはベトナム語に設定されていることを確認する。それらの言語が認識されない場合には、インストーラーは終了し、感染を効果的に防止する。この動作が強く示唆するのは、中国/ベトナムなどがターゲットにされている状況である」と指摘している。
この攻撃は、トロイの木馬化されたバージョンの Philips DICOM ビューアの悪用により ValleyRAT を展開し、被害者のコンピューターにキーロガーと暗号通貨マイナーをドロップする新しいキャンペーンであり、Silver Fox APT と関連付けられている。この攻撃では、脆弱なバージョンの TrueSight ドライバーの悪用により、ウイルス対策ソフトウェアが無効化されていることが判明している。
Forescout は、「このキャンペーンでは、トロイの木馬化された DICOM ビューアをルアーとして利用し、被害者のシステムを ValleyRAT バックドアに感染させて、リモートからのアクセスと制御を達成する。その後に、キーロガーでユーザーのアクティビティと認証情報をキャプチャし、暗号通貨マイナーを悪用することで、金銭的な利益を得ている」と述べている。
昨日に投稿した「Phishing トレンド 2024:状況を分析して 2025年の攻撃に備える」という記事にもあった通り、フィッシングを介した攻撃が増加しているようです。本記事のケースでは、財務省の公式文書を模倣したファイルを用いるという、恐ろしく巧妙な手口でマルウェアが配信されています。不審なメールや添付ファイルには、ご注意ください。なお、Silver Fox APT の関連トピックとして、2025/02/04 に「ValleyRAT マルウェアの新種を検出:感染ベクターは偽の Chrome ダウンロード」という記事を投稿しています。よろしければ、Phishing で検索と併せて、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.