Shadow Vector Malware Uses SVG Images to Deliver AsyncRAT and RemcosRAT Payloads
2025/06/23 gbhackers — Acronis Threat Research Unit (TRU) が発見したのは、驚くべきサイバー脅威の展開である。Shadow Vector と呼ばれる脅威キャンペーンが、悪意の SVG (Scalable Vector Graphics) ファイルという新たな攻撃ベクターを用いて、コロンビアの国民を積極的に標的化しているのだ。信頼できる国家機関を装うスピアフィッシング・メールに埋め込まれた、これらの SVG ファイルは緊急の裁判所通知を装うものであり、国民の信頼を悪用して危険なペイロードをダウンロードさせようとする。
このキャンペーンが示すのは、信頼できるファイル形式である、CVG などを悪用する傾向の高まりである。SVG はブラウザできれいに表示され、埋め込みスクリプトをサポートし、従来のメール・セキュリティ・フィルターを回避できることから、MITRE ATT&CK フレームワークでは、”SVG スマグリング” というサブテクニックとして正式に認められている。
コロンビアを標的とする高度なフィッシング・キャンペーン
Shadow Vector が採用するのは、綿密に作成された配信メカニズムであり、その攻撃チェーンは、公式の法的文書を模倣する SVG 添付ファイルを取り込んだ、フィッシング・メールの配信から始まる。
これらのファイルには、”詳細情報へのアクセス” というラベルの付いたリンクが埋め込まれており、Bitbucket/Discord CDN/YDRAY などの公開プラットフォームにホストされている、パスワード保護された ZIP アーカイブへと、ユーザーをリダイレクトする。
これらのアーカイブを解凍してみたところ、正規の実行ファイルと悪意の DLL が混在していた。信頼できるプロセスを騙して、それらのファイルに埋め込まれた悪意のあるコードをロードする手法である、DLL サイドローディングを通じて、多段階の感染チェーンが開始される。
Acronisレポートによると、最終的には AsyncRAT や RemcosRAT などのリモート・アクセス・ツール (RAT) が展開される。これらのツールの機能としては、キーロギング/認証情報/銀行口座などの窃取があり、また、侵害したシステムを完全にリモート制御することも可能であるという。
パスワード保護されるユーザー・インタラクション層の追加により、自動検出の可能性を低減すると同時に、被害者の関与を促していくという。
多段階感染チェーンによる進化する戦術
さらなる技術分析により明らかになったのは、このキャンペーンが分析を回避し、永続性を維持する高度な手法を駆使していることだ。
たとえば、AsyncRAT のペイロードは、”mscorlib.dll” などの改竄された DLL 内に隠蔽され、意図的にオフセットされた PE ヘッダーを用いることで、自動解析ツールにより検出を妨害している。
“AddInProcess32.exe” などの正規プロセスに、悪意のコードを挿入するプロセス・ホローイングなどの手法により、このマルウェアは信頼できるシステム・バイナリを装い、システムを騙しながら動作する。
さらに Shadow Vector は、分析回避チェック機能を搭載しており、VMware や VirtualBox などのインジケーターをスキャンし、仮想環境やデバッガーを検出すると、実行を終了する。
その最新バージョンには、Katz Stealer に似たモジュール式の .NET ローダーも搭載されており、JavaScript/PowerShell ステージャーや、”cmstp.exe” による UAC バイパスに加えて、ディスク・フットプリントを最小限に抑えるための、イン・メモリ実行などを活用している。
特徴として挙げられる、暗号化されたコンフィグや、ポルトガル語の文字列に加えて、インターネット・アーカイブなどのプラットフォームから動的に取得されるペイロードは、ブラジルのサイバー犯罪エコシステムとの潜在的な関連性を示唆しており、地域をまたいだ協力関係の構築が推測される。
現時点において、この進化する脅威はデータ窃取に重点を置いているが、その能力を考えると、ランサムウェアの展開へとエスカレートする、潜在的なリスクを孕んでいる。
コロンビアの最高司法評議会は、これらの成りすまし戦術について警告を発し、国民による警戒を促している。
侵害の兆候(IOC)
| Type | Indicator (Sample Hashes) |
|---|---|
| SVG Files | 64e971f0fed4da9d71cd742db56f73b6f7da8fec3b8aebd17306e8e0d4f1d29d |
| Packages | bf596502f05062d156f40322bdbe9033b28df967ce694832a78482b47dcdd967 |
| Payloads | 0e5a768a611a4d0ed7cb984b2ee790ad419c6ce0be68c341a2d4f64c531d8122 |
Shadow Vector の攻撃手法には、警戒すべき要素が多く含まれている感じがします。特に、SVG スマグリングのような、従来からのセキュリティ対策では見逃されやすい手口が気になります。また、DLL サイドローディングや多段階の回避戦術からは、攻撃者の熟練度の高さがうかがえます。つい先日の 2025/06/16 には、「JPEG に潜むマルウェア:ステガノグラフィと Base64 難読化を巧妙に実装」という記事をポストしています。よろしければ、カテゴリ RAT と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.