Surge in LNK File Weaponization by 50%, Fueling Four Major Malware Types
2025/07/03 gbhackers — Palo Alto – Unit 42 のテレメトリ・データによると、マルウェア配布における Windows ショートカット (LNK) ファイルの武器化が前年から 50% も増加し、悪意の LNK サンプルは、2023年の 21,098 件から 2024年の 68,392 件へと急増しているという。本来の LNK ファイルは、複雑なフォルダ構造をナビゲートせずに、ファイルやアプリケーションへアクセスするための仮想リンクとして使用されるが、その柔軟性からサイバー犯罪者にとっても、強力な攻撃ツールとなっている。
悪意の LNK サンプルの急増
これらのショートカットを悪用する攻撃者たちは、偽装した LNK ファイルにより悪意のペイロードを実行し、ユーザーを騙してマルウェアを起動させる。最近になって分析された、30,000 件のサンプルの詳細調査により明らかにされたのは、LNK マルウェアが採用する高度な手法と、サイバー・セキュリティ専門家と一般 Windows ユーザーにおける、認識の向上の重要性である。
この調査では、LNK マルウェアを 4 つの異なるカテゴリーに分類している。そこで確認されたのは、それぞれが独自の手法でシステム侵害を狙っていることである。
LNKマルウェアの4つのカテゴリー
- エクスプロイト実行
CVE-2010-2568 などの Windows コンポーネントの脆弱性を狙い、破損した LNK バイナリを悪用してコードを実行する。ただしパッチ適用済みの環境では、発生頻度が低くなる。 - ファイル・オン・ディスク実行
悪意のスクリプトやバイナリを指す LNK ファイルにより、powershell.exe や cmd.exe などのシステム・ツールを介してペイロードを起動する。 - 引数スクリプト実行
LNK ファイル内のコマンドライン引数に悪意のスクリプトをダイレクトに埋め込み、PowerShell や conhost.exe などにより難読化したコードを実行する。Base64 エンコードや環境変数操作を用いて検出を回避する。 - オーバーレイ実行
findstr や mshta.exe などのユーティリティを用いて、正当な LNK ファイルに悪意のコンテンツを追加し、隠されたスクリプトやバイナリを抽出/実行する。PDF などの無害なデコイなどにより、ユーザーを欺くケースもある。
これらの手法が浮き彫りにするのは、LNK ファイルの悪用における単純さである。特に、アイコンの偽装や拡張子 “.lnk” の非表示機能を悪用し、Invoice や PASSWORD_HERE.txt といった信頼性を装うファイル名で、ソーシャル・エンジニアリング攻撃を仕掛ける事例が多い。
LNK ファイルの構造分析で明らかになったのは、LINKTARGET_IDLIST/RELATIVE_PATH/COMMAND_LINE_ARGUMENTS などのフィールドが、悪意のターゲットの解決と実行の中心であることだ。実際に、サンプルの 99% 以上が LINKTARGET_IDLIST を用いてターゲットを指定していた。
したがって、不審なショートカットを見つけた際は、右クリックからプロパティを確認し、不審なターゲットや、不自然な長さの引数、未知のディレクトリなど確認することが重要となる。
LNK ファイルを介した攻撃が広がっており、特にインターネット経由で入手した不明なショートカットを開く際には、細心の注意を払う必要がある。Palo Alto Networks は、Next-Generation Firewall/Prisma Access with Advanced WildFire を提供している。それに加えて、リアルタイムエクスプロイト検出機能を備えた Advanced Threat Prevention や、多層型ポスト・エクスプロイト防御を提供する Cortex XDR/XSIAM などを提供し、LNK マルウェアの脅威からの保護を強化している。
Indicators of Compromise (IoCs)
| SHA256 Hash |
|---|
| a90c87c90e046e68550f9a21eae3cad25f461e9e9f16a8991e2c7a70a3a59156 |
| 08233322eef803317e761c7d380d41fcd1e887d46f99aae5f71a7a590f472205 |
| 9d4683a65be134afe71f49dbd798a0a4583fe90cf4b440d81eebcbbfc05ca1cd |
| a89b344ac85bd27e36388ca3a5437d8cda03c8eb171570f0d437a63b803b0b20 |
| 28fa4a74bbef437749573695aeb13ec09139c2c7ee4980cd7128eb3ea17c7fa8 |
| fb792bb72d24cc2284652eb26797afd4ded15d175896ca51657c844433aba8a9 |
| f585db05687ea29d089442cc7cfa7ff84db9587af056d9b78c2f7a030ff7cd3d |
| b2fd04602223117194181c97ca8692a09f6f5cfdbc07c87560aaab821cd29536 |
| 86f504dea07fd952253904c468d83d9014a290e1ff5f2d103059638e07d14b09 |
| d1dc85a875e4fc8ace6d530680fdb3fb2dc6b0f07f892d8714af472c50d3a237 |
| 76d2dd21ffaddac1d1903ad1a2b52495e57e73aa16aa2dc6fe9f94c55795a45b |
Windows のショートカットである “.lnk” ファイルが、マルウェア展開の手段として悪用されるケースが大幅に増えているようです。便利な機能ですがが、アイコンやファイル名を偽装している場合も多く、うっかり開かないための注意が大切だと、この記事は指摘しています。みなさんも、ご注意ください。よろしければ、カテゴリ TTP も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.