Silver Foxとは?Winos 4.0で日本企業を狙う最新サイバー攻撃
- Silver Fox
- Winos 4.0
- HoldingHands RAT
- DLLサイドローディング
- 標的型攻撃
Silver FoxとWinos 4.0、HoldingHands RATとは?
Silver Foxは「SwimSnake」や「Valley Thief」、「Void Arachne」といった名前でも知られる、中国系のサイバー犯罪組織です。
彼らが使う代表的なマルウェアがWinos 4.0(別名ValleyRAT)で、最近ではHoldingHands RATとうマルウェアーと併用しています。
攻撃の手口は、財務省公式文書を装ったPDFを添付したフィッシングメール。
このPDFには複数のリンクが隠されており、クリックするとWinos 4.0やHoldingHands RATを仕込んだZIPファイルをダウンロードさせられてしまいます。
まさに、普段目にする書類がそのまま罠になっているわけです。
攻撃の流れ:DLLサイドローディングと権限昇格
ユーザーが「税務監査文書」として開いた実行ファイルは、実は悪意あるDLLをロードする仕組みになっています。
このDLLはさらに次のペイロード sw.dat を起動し、以下の動作を行います:
- 仮想環境のチェック(解析回避)
- AvastやNorton、Kasperskyなどのアンチウイルスソフトを終了
- Windowsタスクスケジューラの無効化
- TrustedInstaller権限を偽装して権限昇格
特に厄介なのは、正規のWindowsファイル(TimeBrokerClient.dll)を差し替えて永続化する点です。
タスクスケジューラが再起動すると自動で悪意のあるDLLも動作するため、セキュリティソフトで見つけるのが非常に難しくなります。
HoldingHands RATの機能
HoldingHands RATは、2008年に流出したGh0st RATの派生マルウェアです。
主な特徴は次の通りです:
- 感染したPCの情報を収集し攻撃者へ送信
- 60秒ごとにハートビート信号で接続維持
- 遠隔操作コマンドの実行や追加ペイロードのダウンロード
- C2サーバーのアドレスをWindowsレジストリから動的に変更可能
これにより攻撃者は長期間システムに潜伏でき、Fortinetはこれを地域情報収集型スパイ活動と評価しています。
脅威のポイント
今回のSilver Foxの動きで注目すべき点は次の4つです:
- 地理的拡張 – 中国・台湾から日本・マレーシアへ
- 巧妙な社会工学 – 公文書や採用文書のふりをしたフィッシング
- BYOVD攻撃 – 脆弱ドライバを悪用したセキュリティ無力化
- 潜伏性 – TrustedInstaller偽装とタスクスケジューラによる永続化
単なるマルウェア感染を超え、長期的な情報収集・スパイ活動の色合いが濃い攻撃です。
国内の企業や公共機関も、今後の拡散リスクに備える必要があります。
対策:予防が最大の防御
高度なフィッシングやRAT攻撃に対しては、技術的・運用的な防御の両立が重要です。
- メールセキュリティの強化
- PDFやZIP添付のフィルタリング
- 送信ドメイン検証、DMARC/SPFの導入
- エンドポイントの監視(EDR)
- DLLサイドローディングのチェック
- プロセスツリーの異常監視
- 権限管理
- TrustedInstaller権限の変更を監視
- 不要な管理者権限アカウントを定期点検
- セキュリティ教育
- 税務書類や採用文書を装った攻撃例の共有
- メールリンクや添付ファイルの確認習慣化
結論:基本に立ち返る
Silver Foxの今回の攻撃は、マルウェアの精巧さよりも、社会工学の巧妙さが危険だということを改めて示しています。
すべてのセキュリティ脅威の起点は、結局「ユーザーのクリック」です。
基本原則を守ることが、最も強力な防御になります:
- 出所不明のファイルを開かない
- アカウントは最小権限で運用
- セキュリティソフトを常に最新状態に
さらに監視と定期的な監査を行えば、変化する脅威にも柔軟に対応できる堅牢な防御体制が築けます。
以上、Colorkrew Securityのユンジェホでした。
最後までお読みいただき、ありがとうございました。次回の投稿もお楽しみに。
