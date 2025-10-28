2025年8月から10月にかけて、IBM® X-Forceは、ココロンビア司法省に関連するテーマで、コロンビア人、スペイン語話者である可能性のある個人を標的にした複数のEメールを観察しました。このEメールは、ユーザーにコロンビア司法省の情報システムから「公式文書」をダウンロードするよう誘導し、PureHVNCリモート・アクセス型トロイの木馬（RAT）につながるハイジャックローダー実行可能ファイルを実行する感染チェーンを開始します。
2025年8月から10月にかけて、X-Forceは、コロンビアに居住する可能性のあるユーザーを標的にしたEメールが複数存在し、公式文書のダウンロードを促すコロンビア司法省を模倣したEメールが複数送られていることがわかりました。これらのEメールは、HijackLoaderを使用して、PureHVNCを含むいくつかのペイロードを配信することを目的としています。Hijackloader自体は、ラテンアメリカ（LATAM）内のユーザーをターゲットにしたキャンペーンでは広く使用されておらず、以前、X-Forceが観察したラテンアメリカのユーザーをターゲットにしたPureHVNCを配信するキャンペーンはありませんでした。2024年、HijackloaderがRemcosRATをロードするために使用された詳細が確認されています。これは、おそらくラテンアメリカ諸国（スペイン語のファイル名と指示に基づく）から、CrowdStrikeの顧客を標的としたキャンペーンにおいて行われたものです。X-Forceがこれまでに PureHVNCがスペイン語話ユーザーに配信されたキャンペーンを観察したことがなく、PureHVNC RATの配信は興味深いです。PureHVNC RATは、PureCoder社が販売するツール・セットの一部です。悪意のあるツールは、ダークウェブ、地下フォーラムやTelegramで容易に販売されています。
ユーザーには、コロンビア司法省に関連する公式通信を装ったEメールが提示されます。このEメールには、元従業員によって訴訟が起こされ、労働裁判所で処理中であると記載されています。EメールにはSVGファイルが添付されており、被害者によってGoogleドライブで開かれます。ほとんどの場合、ドキュメントのプレビューが表示され、ダウンロード・ボタンをクリックするとダウンロードできます。あるケースでは、被害者に「ファイルをプレビューできません」とダウンロード・ボタンが表示され、Googleドライブでファイルが開いてしまいます。いずれの場合も、Google Drive内で文書の任意の場所をクリックするとZIPアーカイブ・ファイルがダウンロードされ、被害者には「KC4SX87」などのパスワードを含む「ダウンロード完了」ページが表示されます。Zipファイルにはいくつかの追加ファイルが含まれており、その1つは実行可能ファイルで、ユーザーがクリックしたときに実行するにはパスワードが必要です。EXEファイルをクリックすると感染チェーンが開始され、Hijackloaderを使用して、PureHVNCを含むいくつかの異なるペイロードがデプロイされます。
マルウェア・ステージ1：DLLサイドローディング
ハイジャックローダーは、DLLサイドローディングと呼ばれる手法を使用します。これは、Windowsが使用する検索順序を悪用して、悪意のあるDLLを実行するために必要なライブラリーを見つけます。ハイジャックローダーは正規のJavaw.exeを使用します司法をテーマにした名前に名前が変更されたファイル（02 BOLETA FISCAL.exe）。javaw.exeの依存関係の1つはJLI.dllであるため、Hijackloaderは、変更されたバージョンのJLI.dllを同じディレクトリーに配置します。変更されたjavaw.exeが起動されると、オペレーティング・システムはローカル・ディレクトリーから悪意のあるDLLもロードします。
悪意のあるJLI.dllの主な機能は、第2段階のペイロードであるMSTH7EN.dllをロードすることです。LoadLibraryW（）APIを呼び出すことでこれを実現します。プロセスの所在地空間に格納しますAPI呼び出しは、新しく読み込まれたDLLのイメージ・ベース・所在地を返します。次に、この所在地を特定のオフセットに追加して、MSTH7EN.dll内の悪質なコードのエントリポイントを計算します。
マルウェア・ステージ2：読み込みフェーズ
第2階のペイロードは初期化から始まります。検知を回避するため、必要なライブラリーとAPIをすべて動的にロードして解決します。完了すると、検証して現在の作業ディレクトリーがHijackloaderの場所と一致していることが確認され、第３段階のペイロードが適切に参照およびロードされることが保証されます。
第3段階のペイロードには、次のコンポーネントを含む暗号化されたマルウェア構成が含まれています。
復号化時のマルウェア構成には、次のような情報が含まれています。
その後、シェルコードがvssapi.dllにロードされます。これはマルウェアの設定で指定されているDLLです。これは、VirtualProtect()を呼び出して、DLLの.textセクションのメモリ保護をPAGE_EXECUTE_READWRITEに変更することによって実現されます。最後に、シェルコードがこの書き込み可能なアドレスにコピーされ、実行フローがそこに転送されます。
シェルコードはローダーとして機能しますが、まずシステム内で実行中のプロセス名をハッシュし、マルウェアの設定で指定された値と比較します。一致が見つかった場合、マルウェアはNtDelayExecution() APIを使用して自身の実行を停止します。
次に、Pragkeg.zkのコンテンツを読み取ります。このファイルの内容は、別の暗号化されたマルウェア設定とHijackLoaderのモジュールです。データは複数のチャンクに分割され、最初のチャンクには次の情報が含まれます。
後続のチャンクは、この構造に従います。
これらのチャンクを組み立てるために、HijackLoaderは暗号化されたデータを反復処理して「????IDAT」パターンを検索します。このパターンでは、質問マークがワイルドカードとして機能します。一致が見つかると、パターンのすぐ後の4バイトが0xC6A579EAに等しいかどうかを確認します。これにより、最初のチャンクが見つかったことを確認します。これは、シェルコードの合計サイズと復号キーが含まれているため、重要です。値が一致する場合、HijackLoaderはシェルコードのバイトをバッファーに格納します。このプロセスは、一致するパターンがなくなるまで、シェルコードのバイトが同じバッファーに追加されながら、後続のすべてのチャンクに対して繰り返されます。
その後、暗号化されたシェルコードを含むバッファーは、XOR暗号を使用して復号化され、LZNT1アルゴリズムを使用して解凍されます。その成果は、最終ペイロードやモジュール構造などのさまざまな情報を含む構造です。
マルウェア・ステージ3：ti64 - メイン・モジュール
HijackLoaderの機能はモジュールに分かれています。実行可能なコードが含まれているものもあれば、単に参照に使用される情報であることもあります。その一例がCOPYLISTモジュールで、このモジュールにはHijackLoaderのこの亜種に関連するファイル名のリストが含まれています。Trellixの報告によると、HijackLoaderの一部の亜種は最大40モジュールをサポートしていますが、本レポートで分析されたサンプルは35モジュールのみをサポートしています。すべてのモジュールが実行されるわけではなく、その使用はマルウェア構成で指定されたフラグによって異なります。
以下の表は、各モジュールの名前とその目的をまとめたものです。
HijackLoaderはこれらの構造をループ処理し、カスタムアルゴリズムを使用して各モジュール名をハッシュに変換します。「ti64」モジュールの一致が見つかると、モジュール・データ配列のベースにデータのオフセットを追加することで、モジュールのコードへのポインターが計算されます。このポインターは返され、「ti64」のシェルコードへの参照として使用されます。
次に、マルウェアは別のDLLホロウイング操作を実行して、「ti64」モジュールのシェルコードを挿入します。ターゲットは、以前に復号化された構成で指定されたDLL（この場合はpla.dll）です。
モジュール名
ハッシュ
目的
AVDATA
0x78B783CA
セキュリティー製品関連プロセスのハッシュを格納
ESAL
0x757C9405
HijackLoaderのメモリー内データをクリーンアップし、最終ペイロードを実行します
ESLDR
0xE7794E15
HijackLoaderに関連するシェルコードを挿入して実行するために使用されます
ESWR
0x93EB1CB1
シェルコード・データをクリアし、rshellモジュールを実行します
FIXED
0x699D0C82
プロセスにコードを挿入するために使用される正規のPEファイル
LauncherLdr64
0xF4F141C2
ディスクに保存されている構成ファイルを復号化します
modCreateProcess
0x696F778F
ファイルの実行に使用
modTask
0x3115355E
スケジュールされたタスクを使用して永続性を作成します
modUAC
0xC64EBFDA
特権エスカレーションに使用されます
modWriteFile
0xFCE82FC1
ディスク上のファイル作成を処理します
rshell
rshell64
0x74984889
最終ペイロードを実行します
ti
ti64
0x3EE477F1
他のすべてのモジュールを実行するメイン・シェルコードとして機能します
TinyCallProxy
0x455CBBC3
API呼び出しを実行するプロキシーとして機能します
tinystub
0x4EACE798
最終ペイロード実行プロセス中にパッチ適用に使用されるダミー実行可能ファイルが含まれています
tinyutilitymodule.dll
0xA1D724FC
指定されたファイルのPEヘッダーをnullバイトで上書きします
SM
0xD8222145
コールスタックスプーフィングまたはシェルコードインジェクションで使用されるシステムDLLの名前を含めます
COPYLIST
0x1AE7700A
コピーまたは削除するファイル名のリスト
CUSTOMINJECT
0x6703F815
プロセス・メモリーにコードを挿入するために使用される正規の実行可能ファイルを含めます。このプロセスは、CUSTOMINJECTPATHモジュールで指定されたカスタム・パスに作成されます。
CUSTOMINJECTPATH
0x192A4446
CUSTOMINJECTモジュールで正規のファイルを作成するために使用されるファイル・パスを含めます
X64L
0xCB5B9F3F
プロセスに挿入され、インジェクション・プロキシーとして機能するモジュール
WDUACDATA
0x4D75088D
cmd経由でコマンドを実行するために使用される文字列が含まれます
WDDATA
0xB718A6AE
Windows Defender対策の除外を追加するためのPowerShellコマンドを含めます
PERSDATA
0xA2E0AB5D
スケジュールされたタスクを作成するためにmodTaskモジュールで使用される設定を含めます
MUTEX
0x1999709F
チェックするミューテックスの名前が含まれています
modUACモジュールは、他のモジュールと同様に、TinycallProxyを使用してAPIを呼び出します。UACDATAモジュールの最初のDWORDが2の場合、「runas」を使用して特権を昇格させます。それ以外の場合は、CMSTPLUA COMインターフェースを使用してUACをバイパスします。
一部の亜種では、HijackLoaderは「スタック・スプーフィング」と呼ばれる手法を使用して、APIやシステム・コールの発信元をマスクします。ベース・ポインター・レジスタ（EBP）を使用してスタックをナビゲートし、EBPポインターのチェーンに従って各スタック・フレームから戻りアドレスを取得することでこれを行います。戻りアドレスがntdll.dllまたはkernelbase.dllの.textセクション内にない場合は、HijackLoaderはそれを後で保管します。このプロセスは、スタック制限に達するか、システム・ライブラリー内で３つの連続する戻りアドレスが見つかるまで繰り返されます。
次に、保存された正規のリターン・アドレスを偽のリターン・アドレスで上書きすることで、コール・スタックのなりすましを行います。各偽アドレスは、SMモジュール（この場合は、dcd9.dll）で指定されたランダム・エクスポートを選択し、ランダム・オフセットを追加することで、最終的なポインターがそのモジュールの.textセクション内に確実に配置されるようにすることで生成されます。その後、Heaven’s Gateを使用してシスコールを実行します。呼び出しが完了した直後に、元のスタックのアドレスが復元されます。
ただし、最近の亜種では別の手法が使用されています。HijackLoaderは、スタックスプーフィングの代わりに、LoadLibraryW()経由でSMモジュールで指定されたターゲットDLLをロードします。次に、そのDLL内のランダム・オフセットからコードを一時バッファーに保存し、指定されたAPIを呼び出すように設計されたTinyCallProxy64モジュールのシェルコードに置き換えます。呼び出しが終了すると、元のクリーンなコードが復元されます。
HijackLoaderは、ZwProtectVirtualMemoryやZwGetContextThreadなど、AVソフトウェアによって監視される可能性が高い厳選された機能に対してこれらの手法を使用しています。
テクニック
説明
時間ベースのデバッグ対策チェック
cpuid命令のレイテンシーを測定することにより、タイミング・ベースの回避手法を使用します。ループ内にrdtsc命令を使用してcpuid呼び出しをラップし、実行時間が指定されたしきい値を超えると、デバッガーまたは仮想マシンの存在を検知します。
ハイパーバイザーチェック
cpuid命令を実行し、返されたECXレジスタ内の「ハイパーバイザー・ビット」（ビット31）をチェックすることで、標準的なVM対策チェックを実行します。このビットが1に設定されている場合は、ハイパーバイザーが存在することを示します。
ベンダーIDチェック
ハイパーバイザー情報リーフ（0x40000000）をクエリすることにより、アンチVMチェックを実行します。EAXの戻り値が0x40000000以上である場合、アクティブなハイパーバイザー固有のCPUIDリーフが存在することを示します。
合計RAMをチェック
物理RAM合計をクエリすることにより、サンドボックス対策チェックを実行します。NtQuerySystemInformationを呼び出して、合計メモリをギガバイト単位で計算し（バイト数を30個右シフトさせることで）、結果が4GB未満の場合は終了します。
プロセッサ数のチェック
CPUコア数を照会することにより、サンドボックス対策チェックを実行します。NtQuerySystemInformationを呼び出してNumberOfProcessorsを取得し、それをANTIVMモジュールの構成で指定された値と比較します。
ユーザー名チェック
現在のユーザーのユーザー名をANTIVMモジュールで指定された値と比較します。
コンピューター名チェック
コンピューター名が数字のみで構成されているかどうかをチェックします。
現在の作業ディレクトリをチェックします
現在のモジュール・パスがデスクトップ上にあるかどうかを確認します。
アンチ仮想化チェックが失敗すると、ZwTerminateProcess()への呼び出しによってプロセスが終了します。
アンフック・ルーチンでは、現在ロードされているntdll.dllの.textセクションを、クリーンでマッピングされたコピーと比較します。呼び出し（0xE8）とjmp（0xE9）命令をスキャンし、命令タイプまたは宛先アドレスが2つのバージョン間で異なる場合にフックを検知します。フックが見つかると、マルウェアは元のクリーンバイトを復元してメモリ内の ntdll.dllをパッチ適用します。
HijackLoaderの永続性メカニズムもその構成によって制御されます。この動作は、次のフラグによって決定されます。
これらのフラグに加えて、HijackLoaderはPERSDATAモジュールをチェックすることで別の永続メカニズムを作成できます。このモジュールには、2番目のスケジュールされたタスクを作成するために必要な設定データ（タスク名など）が含まれています。
注入タイプ
説明
注入するファイルがDLLまたはインジェクション・フラグが0x3未満の場合、
最終ペイロードは同じプロセスの下で実行されるため、DLLペイロードは空洞化されたDLLにマッピングされます。
最終ペイロードが.NET/CLRファイルではない場合、インジェクションフラグ0x20が偽、0x80が真です
ロールバックされたNTFSトランザクションを使用して、rshellペイロードをダミーtinystub PEに隠します。次に、この隠れたPEを中断されたプロセス（FIXED）にマッピングし、ESWRモジュールがメインスレッドのコンテキストをハイジャックしてrshellコードを実行します。
最終ペイロードが.NET/CLRファイルではない場合、インジェクション・フラグ0x20と0x80は両方とも偽です。
FIXEDモジュールはディスクにドロップされ、中断されたプロセスとして作成されます。その後、ESWRモジュールを使用して、FIXEDプロセス内でrshellペイロードの実行をトリガーします。
インジェクション・フラグ0x100はtrueに設定され、0x20はfalseに設定されます
rshellを、CLRパスの.NETヘッダーを解析することで特定された、中断された正規システム実行可能ファイル（例：MSBuild.exe）に挿入します。ペイロードは、スレッド・コンテキスト・ハイジャックによって実行される前にメモリー内でパッチ適用され、独自のPEヘッダーがクリアされます。
インジェクションフラグ0x4と0x80は両方ともtrueです。
条件付きでFIXEDモジュールをドロップし、rshellペイロードをロールバックされたトランザクションファイル（tinystub）に保管します。これをセクション・マッピングを介して中断中のFIXEDプロセスに注入します。実行はスレッド・コンテキスト・ハイジャックによってトリガーされ、その後、オプションでPEヘッダーが消去されます。
インジェクションフラグ0x4はtrue、0x80はfalseです。
HijackLoaderは、サスペンドされたプロセスを起動し、その中に直接新しいメモリセクションを作成してマップし、そして、パッチを当てたrshellモジュールをこのセクションに書き込みます。実行は、メインスレッドのコンテキストをハイジャックしてrshellコードを実行することによってトリガーされます。
インジェクションフラグ0x4は偽、0x10は真です。
FIXEDモジュールを起動し、メイン・メモリー・セクションを消去して、ペイロードにコピーすることにより、プロセス・ホローイングを実行します。「MZ」ヘッダーは2つの別々の呼び出しで記述されます。最後に、パッチが適用されたrshellモジュールを挿入し、PEBを変更し、オプションでペイロードのPEヘッダーを消去します。
インジェクション・タイプは4に設定
セクション・マッピングを介してメイン・ペイロードとrshellモジュールを挿入します。セクションが作成され、パッチが適用されたrshellとペイロードがローカルに追加され、中断されたターゲット・プロセス（システム・ネイティブのバイナリーまたはCUSTOMINJECTモジュール）にマッピングされます。メインスレッドのコンテキストをハイジャックしてrshellのエントリー・ポイントを指すことによって実行がトリガーされます。
LATAM地域内のユーザーは、官公庁・自治体や司法機関を装ったEメールのターゲットになることが増えており、このテーマはしばしば緊迫感を感じさせます。X-Forceは、被害者を悪意のあるダウンローダーに誘導するリンクやZIP添付ファイルが日常的に使用されるキャンペーンを観察しています。2025年8月から10月にかけて、X-Forceは、コロンビアに居住する可能性のあるユーザーを標的にしたEメールが複数存在し、公式文書のダウンロードによってコロンビアの司法長官事務所を模倣したEメールが複数送られていることがわかりました。HijackLoaderは、回避および永続メカニズムを備えたモジュール式マルウェアであり、主にZIPまたはRARアーカイブ・ファイルとしてユーザーに配信されます。アーカイブには、サイドロードされて追加のペイロードに使用される悪意のあるDLLが含まれています。これらのEメールはおそらく単一のキャンペーンの一部であり、攻撃者がHijackLoaderを利用してPureHVNC RATを実行するという点で重要です。これは、X-Forceがこれまで観測したことのない組み合わせです。
分類
インジケータータイプ
コンテキスト
troquelesmyj[@]gmail.com
Eメール
送信者Eメール
nuevos777[.]duckdns[.]org
ドメイン
C2ドメイン
7octubredc[.]duckdns[.]org
ドメイン
C2ドメイン
dckis13[.]duckdns[.]org
ドメイン
C2ドメイン
dckis7[.]duckdns[.]org
ドメイン
C2ドメイン
enviopago[.]mysynology[.]net
ドメイン
C2ドメイン
maximo26[.]duckdns[.]org
ドメイン
C2ドメイン
sofiavergara[.]duckdns[.]org
ドメイン
C2ドメイン
hxxps[:]//drive[.]google[.]com
URL
SVGホスト
hxxps[:]//drive[.]google[.]com/
URL
SVGホスト
e7120d45ee357f30cb602c0d93
SHA256
ZIP
7e64102405459192813541448c8
SHA256
RAR
14becb3a9663128543e1868d09
SHA256
HijackLoader
57c49cff3e71bc75641c78a5a72d
SHA256
HijackLoader
7c3d9ad3f1bd890e3552dc6709
SHA256
HijackLoader
ce42377d3d26853fd1718f69341
SHA256
HijackLoader
a0e4979b4e4a706286438d48f
SHA256
HijackLoader
6d93a486e077858b75eb814e
SHA256
HijackLoader
bdca9849d7263d508b7ed4db
SHA256
HijackLoader
1ae61edf35127264d329b7c0e2
SHA256
HijackLoader
2ec31a8a36d73fa8354a7ac0c
SHA256
HijackLoader
776bbaa44c7788e0ccd5945
SHA256
HijackLoader
9e9997b54da0c633ffcf0a4fb
SHA256
HijackLoader
b2f733b67f1ef06d9e5ce76d3
SHA256
HijackLoader
c93e70d20ba2948a6a8a013
SHA256
HijackLoader
d550a2a327394148c0c3d05
SHA256
HijackLoader
e668ca17fcdfa818aac35f1206
SHA256
HijackLoader
fe6d0ee45a70359008b2916
SHA256
HijackLoader
977f2f18ff13c93406c5702f83
SHA256
HijackLoader
768ca38878c5bb15650343ce
SHA256
HijackLoader
47245b7d2d8cb6b92308deb
SHA256
HijackLoader
4484b0ac51536890301a0e6
SHA256
HijackLoader
0113d9f3d93069a29458b3b4
SHA256
HijackLoader
22d474e729d600dcd84ce139
SHA256
HijackLoader
2cbfc482e27a2240a48d2fb6f
SHA256
HijackLoader
96ee786c5b6167c0f0f770efba
SHA256
HijackLoader
33d0c63777882c9ec514be06
SHA256
PureHVNC
afecefa6d9bd1e6d1c9214420
SHA256
PureHVNC
85641c8fb94e8e4c5202152dc
SHA256
PureHVNC
1bf3a1cf9bc7eded0b8994d44
SHA256
PureHVNC
IBM X-Force Premier Threat Intelligenceが、FiligranのOpenCTIと統合され、この脅威アクティビティなどに関する実行可能な脅威インテリジェンスを提供しています。脅威アクター、マルウェア、業種・業務リスクに関する洞察にアクセスします。X-Force OpenCTIコネクタを導入すれば、検知と対応を強化し、IBM X-Forceの専門知識でサイバーセキュリティーを強化しましょう。X-Force Premier Threat Intelligenceの30日間トライアルを今すぐご利用ください。
