MixShellマルウェア

サイバーセキュリティ研究者らは、高度なソーシャルエンジニアリング活動（コードネーム「ZipLine」）を発見しました。この活動は、MixShellと呼ばれるステルス性の高いメモリ内マルウェアを悪用しています。この攻撃は主にサプライチェーンに不可欠な製造企業を標的としており、従来のフィッシング手法ではなく、信頼できるビジネスワークフローを悪用する攻撃者が増えている傾向を示しています。

お問い合わせフォームから不正侵入まで

迷惑メールを介して送信される従来のフィッシング攻撃とは異なり、ZipLineの攻撃者は企業の「お問い合わせ」フォームから侵入を開始します。この巧妙なアプローチは、最初から信頼関係を築きます。その後、数週間にわたって専門的で説得力のあるやり取りが続き、多くの場合、偽造された秘密保持契約によって強化された後、攻撃者はMixShellを含む悪意のあるZIPアーカイブを送りつけます。

この忍耐強い信頼構築戦術こそが、ZipLineを恐怖を煽るキャンペーンとは一線を画すものです。攻撃者はAIを活用した取り組みを軸に攻撃を仕掛け、コスト削減と効率化を支援できるパートナーとして自らをアピールするケースもあります。

標的は誰ですか?

ZipLineの標的は広範囲にわたりますが、特に米国に拠点を置く、サプライチェーンに不可欠な業界の組織が中心となっています。影響を受ける地域には、シンガポール、日本、スイスも含まれます。

主なターゲット分野は次のとおりです。

• 工業製造（機械、金属加工、部品、エンジニアリングシステム）
• ハードウェアと半導体
• バイオテクノロジーと医薬品
• 消費財生産

攻撃者は米国登録LLCを模倣したドメインも利用しており、合法ではあるものの活動していない企業のドメインを転用することもあります。これらのクローンウェブサイトは、高度に構造化された大規模な攻撃活動の存在を示唆しています。

攻撃チェーンの解剖

ZipLineの成功の秘訣は、ステルス性と持続性を重視した多段階の感染プロセスにあります。兵器化されたZIPアーカイブは通常、正規のクラウドサービスであるHerokuapp.comでホストされており、マルウェアが通常のネットワーク活動に溶け込むのを助けています。

感染プロセスには以下が含まれます。

• ZIP 内の Windows ショートカット (LNK) が PowerShell ローダーを起動します。

以前の脅威活動へのリンク

研究者らは、ZipLineのインフラで使用されているデジタル証明書と、UNK_GreenSecと呼ばれる脅威グループによるTransferLoader攻撃に関係するデジタル証明書の重複を特定しました。攻撃者の身元は依然として不明ですが、この関連性は、大規模な攻撃キャンペーンの経験を持つ、組織的で機転の利く攻撃者の存在を示唆しています。

ZipLineのキャンペーンのリスク

MixShell感染が成功した場合、知的財産の盗難やビジネスメール詐欺、ランサムウェア攻撃、サプライチェーンの混乱など、深刻な被害をもたらす可能性があります。標的となる業界の性質上、その影響は個々の企業にとどまらず、製造エコシステム全体に波及する可能性があります。

防御策：ソーシャルエンジニアリングによる脅威に先手を打つ

ZipLine キャンペーンは、サイバー犯罪者が人間の心理、信頼できる通信チャネル、AI 関連のテーマを活用して信頼を悪用し、革新を起こしていることを浮き彫りにしています。

このような脅威に対抗するために、組織は次のことを行う必要があります。

• 予防を第一に考え、異常な動作を検出できる防御策を導入します。
• 使用されるチャネルに関係なく、すべての問い合わせに対して懐疑的な態度で臨むよう従業員をトレーニングします。
• 特に ZIP アーカイブやショートカット ファイルに関しては、厳格なファイル処理ポリシーを適用します。
• トンネリングを示唆する可能性のある DNS ベースの通信異常の監視を強化します。

警戒の文化を築くことは極めて重要です。信頼は一度武器とされれば、攻撃者の武器庫の中で最も効果的なツールの一つとなります。