Winos RATマルウェア
中国語圏のユーザーは、本物のソフトウェアダウンロードページを偽物にすり替える、集中的なSEOポイズニング攻撃の標的となっています。攻撃者は、操作された検索ランキングとほぼ同一のドメインを通じて悪意のあるインストーラーを配布することで、正規のソフトウェアのように見えて実際にはリモートアクセス型マルウェアを配布するソフトウェアを簡単に入手できるようにしています。
目次
キャンペーンの仕組み
脅威アクターは、SEOプラグインを悪用し、正規のベンダーを模倣した類似ドメインを登録することで、偽装ページを検索結果に表示させていました。巧妙な文字の入れ替えや流暢な中国語の文章を用いて、ユーザーを騙しクリックさせようとしていました。トロイの木馬化されたダウンロードページにアクセスすると、インストールパッケージには、本来のアプリケーションと、隠された悪意のあるコンポーネントの両方が含まれています。この組み合わせにより、一般ユーザーによる検知は困難です。
目標とタイムライン
2025年8月、研究者らは、このキャンペーンが主に人気の生産性向上ツールやコミュニケーションツールを検索しているユーザーを誘い込むことを発見しました。被害者を誘い込むために使用された検索ターゲットの例は以下の通りです。
DeepL翻訳
グーグルクローム
信号
電報
ワッツアップ
WPSオフィス
関連するマルウェアファミリー
これらの攻撃により、Gh0st RATに関連する亜種、特にHiddenGh0stとWinos(別名ValleyRAT)の展開が進みました。Winosは、Silver Fox、SwimSnake、The Great Thief of Valley(Valley Thief)、UTG-Q-1000、Void Arachneなど、複数の別名で追跡されているサイバー犯罪クラスターに関連があるとされており、少なくとも2022年から活動していたと考えられています。
デリバリーチェーン — 技術的な詳細
nice.js という小さなJavaScriptファイルが、多段階的な配信を統制します。このスクリプトはJSONレスポンスを繰り返し取得します。最初のダウンロードリンクは、セカンダリリンクを含むJSONを返し、そのセカンダリリンクは別のJSONペイロードを返し、最終的に悪意のあるインストーラURLにリダイレクトします。この階層的なリダイレクトにより、最終的なペイロードの場所が難読化され、単純な検出が困難になります。
インストーラー内部:
EnumW.dllという悪意のあるDLLは、一連の分析回避チェックを実行した後、2つ目のDLL(vstdlib.dll)を抽出します。vstdlib.dllの抽出と動作は、メモリ使用量を増大させ、分析ツールの動作を遅くすることで、自動または手動による検査を妨害するように設計されています。
2つ目のDLLは、システム内に特定のウイルス対策製品が存在するかどうかを確認した後にのみ、メインペイロードを解凍して起動します。そのウイルス対策製品が検出されると、マルウェアはTypeLib COMハイジャックを利用して永続性を確立し、最終的にinsalivation.exeというWindowsバイナリを実行します。
ウイルス対策ソフトが存在しない場合は、マルウェアは永続性を実現するために、代わりに同じ実行可能ファイルを指す Windows ショートカットを作成します。
最終ペイロード: SIDELoadING AIDE.dll
最終的な目的は、AIDE.dll と呼ばれる DLL をサイドロードすることです。AIDE.dll がアクティブになると、以下の 3 つの主要な操作機能が実装されます。
- コマンド アンド コントロール (C2): 指示とデータの交換のためにリモート サーバーと暗号化された通信を行います。
- ハートビート: 実行中のプロセスの列挙や、ハードコードされたセキュリティ製品のリストとの照合など、システムと被害者の情報を定期的に収集します。
- モニター: 永続性の確認、ユーザー アクティビティの追跡、C2 への定期的なビーコン送信。
追加機能とプラグイン
C2モジュールは、追加のプラグインを取得するためのリモートコマンドをサポートしています。既知の機能には、キーロギング、クリップボードキャプチャ、画面監視、そして暗号通貨ウォレット(特にイーサリアムとテザー資産を保有するウォレット)を乗っ取るためのツールなどがあります。これらのインシデントで確認されたいくつかのプラグインは、Winosフレームワークのコンポーネントを再利用したものと思われ、継続的な画面監視が可能です。
感染が発見しにくい理由
インストーラーは正規のアプリケーションを悪意のあるペイロードとバンドルするため、信頼できるプログラムのように見えるものをダウンロードしたユーザーは、何の異常も感じない可能性があります。攻撃者は上位の検索結果さえも武器化しているため、善意のユーザーが侵害されたパッケージをインストールする可能性が高まっています。
防衛勧告
- ソフトウェアをダウンロードする前に、必ずドメイン名を慎重に検証し、微妙な文字の置換や URL の不一致がないか確認してください。
- 検索結果からのダウンロードではなく、公式ベンダーサイトまたは検証済みのアプリ ストアを優先します。
- インストーラーの動作 (ファイル署名だけでなく) を検査し、DLL サイドローディングと COM ハイジャックに対する保護を有効にするエンドポイント保護を使用します。
結論
このキャンペーンは、攻撃者がSEO操作、類似ドメイン、多段階リダイレクト、そして高度なDLLベースの回避策を巧みに組み合わせて、Gh0st-RATファミリーのマルウェアを中国語圏のユーザーに拡散させる様子を示しています。正規のバイナリと隠されたペイロードが混在しているため、警戒が不可欠です。ソースの確認、ドメインの精査、そして実行時の挙動とファイルのレピュテーションを考慮した防御策の活用が不可欠です。
