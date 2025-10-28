セキュリティー

X-Force脅威分析レポート：LATAMがPureHVNCの配信に潜む

公開日 2025年10月28日
青い照明の部屋でノートPCのキーボードをタイピングしている手の側面図

共同執筆者

Melissa Frydrych-Dean

Threat Hunt Researcher

IBM

Raymond Joseph Alfonso

Malware Reverse Engineer

IBM X-Force

2025年8月から10月にかけて、IBM® X-Forceは、ココロンビア司法省に関連するテーマで、コロンビア人、スペイン語話者である可能性のある個人を標的にした複数のEメールを観察しました。このEメールは、ユーザーにコロンビア司法省の情報システムから「公式文書」をダウンロードするよう誘導し、PureHVNCリモート・アクセス型トロイの木馬（RAT）につながるハイジャックローダー実行可能ファイルを実行する感染チェーンを開始します。

脅威の種類

  • フィッシング

背景

2025年8月から10月にかけて、X-Forceは、コロンビアに居住する可能性のあるユーザーを標的にしたEメールが複数存在し、公式文書のダウンロードを促すコロンビア司法省を模倣したEメールが複数送られていることがわかりました。これらのEメールは、HijackLoaderを使用して、PureHVNCを含むいくつかのペイロードを配信することを目的としています。Hijackloader自体は、ラテンアメリカ（LATAM）内のユーザーをターゲットにしたキャンペーンでは広く使用されておらず、以前、X-Forceが観察したラテンアメリカのユーザーをターゲットにしたPureHVNCを配信するキャンペーンはありませんでした。2024年、HijackloaderがRemcosRATをロードするために使用された詳細が確認されています。これは、おそらくラテンアメリカ諸国（スペイン語のファイル名と指示に基づく）から、CrowdStrikeの顧客を標的としたキャンペーンにおいて行われたものです。X-Forceがこれまでに PureHVNCがスペイン語話ユーザーに配信されたキャンペーンを観察したことがなく、PureHVNC RATの配信は興味深いです。PureHVNC RATは、PureCoder社が販売するツール・セットの一部です。悪意のあるツールは、ダークウェブ、地下フォーラムやTelegramで容易に販売されています。

分析

概要

ユーザーには、コロンビア司法省に関連する公式通信を装ったEメールが提示されます。このEメールには、元従業員によって訴訟が起こされ、労働裁判所で処理中であると記載されています。EメールにはSVGファイルが添付されており、被害者によってGoogleドライブで開かれます。ほとんどの場合、ドキュメントのプレビューが表示され、ダウンロード・ボタンをクリックするとダウンロードできます。あるケースでは、被害者に「ファイルをプレビューできません」とダウンロード・ボタンが表示され、Googleドライブでファイルが開いてしまいます。いずれの場合も、Google Drive内で文書の任意の場所をクリックするとZIPアーカイブ・ファイルがダウンロードされ、被害者には「KC4SX87」などのパスワードを含む「ダウンロード完了」ページが表示されます。Zipファイルにはいくつかの追加ファイルが含まれており、その1つは実行可能ファイルで、ユーザーがクリックしたときに実行するにはパスワードが必要です。EXEファイルをクリックすると感染チェーンが開始され、Hijackloaderを使用して、PureHVNCを含むいくつかの異なるペイロードがデプロイされます。

このフィッシング・キャンペーンのサンプル・Eメールの製品の画面
図1 Eメールの例
ダウンロード・ページ例
図2 ダウンロード・ページの例
「Consulta de Procesos Nacional Unificada」になりすましたSVGのダウンロード
図3 SVGダウンロード
なりすましポータルde Consulta CiudadanaのSVGドキュメントのダウンロード・プレビュー
図4 SVGドキュメントのダウンロード・プレビュー
Portal de Consulta CiudadanaになりすますSVGのダウンロード
図5 SVGダウンロード
ダウンロード完了とパスワードの製品の画面
図6 ダウンロード完了とパスワード
ZIPアーカイブの内容
図7 ZIPアーカイブの内容
EXEファイルのパスワード入力
図8 EXEファイルのパスワード入力

PureHVNCの感染チェーンの例

  • 02 BOLETA FISCAL.exe（javaw.exe）→ JLI.dll → MSTH7EN.DLL → Sumhand.zam → Plugkeg.zk → PureHVNC → sofiavergara[.]duckdns[.]org

マルウェア・ステージ1：DLLサイドローディング

ハイジャックローダーは、DLLサイドローディングと呼ばれる手法を使用します。これは、Windowsが使用する検索順序を悪用して、悪意のあるDLLを実行するために必要なライブラリーを見つけます。ハイジャックローダーは正規のJavaw.exeを使用します司法をテーマにした名前に名前が変更されたファイル（02 BOLETA FISCAL.exe）。javaw.exeの依存関係の1つはJLI.dllであるため、Hijackloaderは、変更されたバージョンのJLI.dllを同じディレクトリーに配置します。変更されたjavaw.exeが起動されると、オペレーティング・システムはローカル・ディレクトリーから悪意のあるDLLもロードします。

悪意のあるJLI.dllの主な機能は、第2段階のペイロードであるMSTH7EN.dllをロードすることです。LoadLibraryW（）APIを呼び出すことでこれを実現します。プロセスの所在地空間に格納しますAPI呼び出しは、新しく読み込まれたDLLのイメージ・ベース・所在地を返します。次に、この所在地を特定のオフセットに追加して、MSTH7EN.dll内の悪質なコードのエントリポイントを計算します。

if ( v25 )
{
  *v25 += v25;
  *(v25 - 117) += v26;
  v27 = v42;
  v28 = *v26;
  do
  {
      ++v26;
      *v27++ = v28;
      v28 = *v26;
  }
  while ( *v26 );
  *v27 = 0;
  LibraryA = LoadLibraryA(v42); //Load MSTH7EN.DLL
  if ( LibraryA )
    LOBYTE(LibraryA) = ((LibraryA + 31934))(); //Image base of MSTH7EN.dll +
31934 (malicious code offset)
  }

マルウェア・ステージ2：読み込みフェーズ

第2階のペイロードは初期化から始まります。検知を回避するため、必要なライブラリーとAPIをすべて動的にロードして解決します。完了すると、検証して現在の作業ディレクトリーがHijackloaderの場所と一致していることが確認され、第３段階のペイロードが適切に参照およびロードされることが保証されます。

第3段階のペイロードには、次のコンポーネントを含む暗号化されたマルウェア構成が含まれています。

  • 構成を解読する鍵
  • 暗号化された構成のサイズ
  • 暗号化された構成データ

復号化時のマルウェア構成には、次のような情報が含まれています。

  • DLLホスティングを実行するDLLの名前
  • DLLホスティングのシェルコードのサイズ
  • シェルコード内の悪意のあるコードのオフセット
  • 見つかった場合にマルウェアの実行を遅らせるプロセス名のハッシュ
  • シェルコードの最初の4バイト（検証に使用）
  • シェルコードの先頭を見つけるために使用される検索文字列
暗号化されたマルウェア構成の製品の画面
図9 暗号化されたマルウェアの構成
復号化されたマルウェア構成の製品の画面
図10 復号化されたマルウェアの構成

その後、シェルコードがvssapi.dllにロードされます。これはマルウェアの設定で指定されているDLLです。これは、VirtualProtect()を呼び出して、DLLの.textセクションのメモリ保護をPAGE_EXECUTE_READWRITEに変更することによって実現されます。最後に、シェルコードがこの書き込み可能なアドレスにコピーされ、実行フローがそこに転送されます。

シェルコードはローダーとして機能しますが、まずシステム内で実行中のプロセス名をハッシュし、マルウェアの設定で指定された値と比較します。一致が見つかった場合、マルウェアはNtDelayExecution() APIを使用して自身の実行を停止します。

次に、Pragkeg.zkのコンテンツを読み取ります。このファイルの内容は、別の暗号化されたマルウェア設定とHijackLoaderのモジュールです。データは複数のチャンクに分割され、最初のチャンクには次の情報が含まれます。

  • 暗号化データのサイズ
  • マーカー（「IDAT」）
  • シェルコードの開始バイトをチェックするために使用される値（0xC6A579EA）
  • データを復号するキー

後続のチャンクは、この構造に従います。

  • シェルコード・チャンクのサイズ
  • マーカー（「IDAT」）
  • 暗号化されたバイト

これらのチャンクを組み立てるために、HijackLoaderは暗号化されたデータを反復処理して「????IDAT」パターンを検索します。このパターンでは、質問マークがワイルドカードとして機能します。一致が見つかると、パターンのすぐ後の4バイトが0xC6A579EAに等しいかどうかを確認します。これにより、最初のチャンクが見つかったことを確認します。これは、シェルコードの合計サイズと復号キーが含まれているため、重要です。値が一致する場合、HijackLoaderはシェルコードのバイトをバッファーに格納します。このプロセスは、一致するパターンがなくなるまで、シェルコードのバイトが同じバッファーに追加されながら、後続のすべてのチャンクに対して繰り返されます。

その後、暗号化されたシェルコードを含むバッファーは、XOR暗号を使用して復号化され、LZNT1アルゴリズムを使用して解凍されます。その成果は、最終ペイロードやモジュール構造などのさまざまな情報を含む構造です。

マルウェア・ステージ3：ti64 - メイン・モジュール

HijackLoaderの機能はモジュールに分かれています。実行可能なコードが含まれているものもあれば、単に参照に使用される情報であることもあります。その一例がCOPYLISTモジュールで、このモジュールにはHijackLoaderのこの亜種に関連するファイル名のリストが含まれています。Trellixの報告によると、HijackLoaderの一部の亜種は最大40モジュールをサポートしていますが、本レポートで分析されたサンプルは35モジュールのみをサポートしています。すべてのモジュールが実行されるわけではなく、その使用はマルウェア構成で指定されたフラグによって異なります。

以下の表は、各モジュールの名前とその目的をまとめたものです。

HijackLoaderはこれらの構造をループ処理し、カスタムアルゴリズムを使用して各モジュール名をハッシュに変換します。「ti64」モジュールの一致が見つかると、モジュール・データ配列のベースにデータのオフセットを追加することで、モジュールのコードへのポインターが計算されます。このポインターは返され、「ti64」のシェルコードへの参照として使用されます。

次に、マルウェアは別のDLLホロウイング操作を実行して、「ti64」モジュールのシェルコードを挿入します。ターゲットは、以前に復号化された構成で指定されたDLL（この場合はpla.dll）です。

モジュール名

ハッシュ

目的

AVDATA

0x78B783CA

セキュリティー製品関連プロセスのハッシュを格納

ESAL
ESAL64

0x757C9405
0x6364A15B

HijackLoaderのメモリー内データをクリーンアップし、最終ペイロードを実行します

ESLDR
ESLDR64

0xE7794E15
0x4FA01AC5

HijackLoaderに関連するシェルコードを挿入して実行するために使用されます

ESWR
ESWR64

0x93EB1CB1
0xAE2762

シェルコード・データをクリアし、rshellモジュールを実行します

FIXED

0x699D0C82

プロセスにコードを挿入するために使用される正規のPEファイル

LauncherLdr64

0xF4F141C2

ディスクに保存されている構成ファイルを復号化します

modCreateProcess
modCreateProcess64

0x696F778F
0x9B0B7E4B

ファイルの実行に使用

modTask
modTask64

0x3115355E
0x9BFAF2D3

スケジュールされたタスクを使用して永続性を作成します

modUAC
modUAC64

0xC64EBFDA
0xC97832F9

特権エスカレーションに使用されます

modWriteFile
modWriteFile64

0xFCE82FC1
0x90415081

ディスク上のファイル作成を処理します

rshell

rshell64

0x74984889
0x7B37E907

最終ペイロードを実行します

ti

ti64

0x3EE477F1
0x2AB77DB8

他のすべてのモジュールを実行するメイン・シェルコードとして機能します

TinyCallProxy
TinyCallProxy64

0x455CBBC3
0x5515DCEA

API呼び出しを実行するプロキシーとして機能します

tinystub
tinystub64

0x4EACE798
0x6E874E5A

最終ペイロード実行プロセス中にパッチ適用に使用されるダミー実行可能ファイルが含まれています

tinyutilitymodule.dll
tinyutilitymodule64.dll

0xA1D724FC
0xA0077EA3

指定されたファイルのPEヘッダーをnullバイトで上書きします

SM

0xD8222145

コールスタックスプーフィングまたはシェルコードインジェクションで使用されるシステムDLLの名前を含めます

COPYLIST

0x1AE7700A

コピーまたは削除するファイル名のリスト

CUSTOMINJECT

0x6703F815

プロセス・メモリーにコードを挿入するために使用される正規の実行可能ファイルを含めます。このプロセスは、CUSTOMINJECTPATHモジュールで指定されたカスタム・パスに作成されます。

CUSTOMINJECTPATH

0x192A4446

CUSTOMINJECTモジュールで正規のファイルを作成するために使用されるファイル・パスを含めます

X64L

0xCB5B9F3F

プロセスに挿入され、インジェクション・プロキシーとして機能するモジュール

WDUACDATA

0x4D75088D

cmd経由でコマンドを実行するために使用される文字列が含まれます

WDDATA

0xB718A6AE

Windows Defender対策の除外を追加するためのPowerShellコマンドを含めます

PERSDATA

0xA2E0AB5D

スケジュールされたタスクを作成するためにmodTaskモジュールで使用される設定を含めます

MUTEX

0x1999709F

チェックするミューテックスの名前が含まれています

権限昇格

modUACモジュールは、他のモジュールと同様に、TinycallProxyを使用してAPIを呼び出します。UACDATAモジュールの最初のDWORDが2の場合、「runas」を使用して特権を昇格させます。それ以外の場合は、CMSTPLUA COMインターフェースを使用してUACをバイパスします。

回避

間接API呼び出し

一部の亜種では、HijackLoaderは「スタック・スプーフィング」と呼ばれる手法を使用して、APIやシステム・コールの発信元をマスクします。ベース・ポインター・レジスタ（EBP）を使用してスタックをナビゲートし、EBPポインターのチェーンに従って各スタック・フレームから戻りアドレスを取得することでこれを行います。戻りアドレスがntdll.dllまたはkernelbase.dllの.textセクション内にない場合は、HijackLoaderはそれを後で保管します。このプロセスは、スタック制限に達するか、システム・ライブラリー内で３つの連続する戻りアドレスが見つかるまで繰り返されます。

次に、保存された正規のリターン・アドレスを偽のリターン・アドレスで上書きすることで、コール・スタックのなりすましを行います。各偽アドレスは、SMモジュール（この場合は、dcd9.dll）で指定されたランダム・エクスポートを選択し、ランダム・オフセットを追加することで、最終的なポインターがそのモジュールの.textセクション内に確実に配置されるようにすることで生成されます。その後、Heaven’s Gateを使用してシスコールを実行します。呼び出しが完了した直後に、元のスタックのアドレスが復元されます。

ただし、最近の亜種では別の手法が使用されています。HijackLoaderは、スタックスプーフィングの代わりに、LoadLibraryW()経由でSMモジュールで指定されたターゲットDLLをロードします。次に、そのDLL内のランダム・オフセットからコードを一時バッファーに保存し、指定されたAPIを呼び出すように設計されたTinyCallProxy64モジュールのシェルコードに置き換えます。呼び出しが終了すると、元のクリーンなコードが復元されます。

HijackLoaderは、ZwProtectVirtualMemoryZwGetContextThreadなど、AVソフトウェアによって監視される可能性が高い厳選された機能に対してこれらの手法を使用しています。

__int64 __fastcall sub_7FF87A86D3B0(
        GlobalContext_0 *a1,
        __int64 hash_of_function,
        __int64 a3,
        __int64 a4,
        __int64 a5,
        __int64 a6,
        __int64 a7)
{
  Indirect_SYSCALL *syscall_struct; // [rsp+40h] [rbp-28h]
  __int64 (__fastcall *pAPIFunc)(__int64, __int64, __int64, __int64, __int64);
// [rsp+48h] [rbp-20h]

  syscall_struct = sub_7FF87A86B470(a1, hash_of_function);
  if ( !syscall_struct )
    return 0xFFFFFFFFLL;
  pAPIFunc = (a1->ntdll_image_base + syscall_struct->api_rva);
  if ( a1->GlobalContext_1 )
    return mw_indirect_api_call(a1->GlobalContext_1, pAPIFunc, a3, a4, a5, a6, a7);
  else
    return pAPIFunc(a3, a4, a5, a6, a7);
}

__int64 __fastcall mw_indirect_api_call(
        GlobalContext_1 *TinyCallProxy64,
        __int64 pAPIFunc,
        __int64 a3,
        __int64 a4,
        __int64 NtClose,
        __int64 a6,
        __int64 a7)
{
  _BYTE *shellcodeAddress; // [rsp+40h] [rbp-58h]
  unsigned int v9; // [rsp+48h] [rbp-50h] BYREF
  int v10; // [rsp+4Ch] [rbp-4Ch] BYREF
  unsigned int v11; // [rsp+50h] [rbp-48h]
  _BYTE *clean_code; // [rsp+58h] [rbp-40h]
  unsigned int v13; // [rsp+60h] [rbp-38h]
  void (__fastcall *FlushInstructionCache)(__int64, _BYTE *, _QWORD); //
[rsp+68h] [rbp-30h]
  unsigned __int64 random_address; // [rsp+70h] [rbp-28h]
  __int64 (__fastcall *pShellcodeAddress)(__int64, unsigned __int64, _QWORD,
__int64, __int64, __int64, __int64, __int64); // [rsp+78h] [rbp-20h]
  void (__fastcall *v17)(__int64, _BYTE *, _QWORD); // [rsp+80h] [rbp-18h]

  v13 = 5;
  v11 = 0;
  shellcodeAddress = mw_pick_random_address(TinyCallProxy64);// d3d9.dll address
  v9 = 0;
  v10 = 0;
  if ( !(TinyCallProxy64->VirtualProtect)(shellcodeAddress,
LODWORD(TinyCallProxy64->shellcode_size), 64LL, &v9) )
    return -1LL;
  clean_code = (TinyCallProxy64->malloc)(LODWORD(TinyCallProxy64->shellcode_size));
  wrapper_memcpy(clean_code, shellcodeAddress, TinyCallProxy64->shellcode_size);
  wrapper_memcpy(shellcodeAddress, TinyCallProxy64->shellcode, TinyCallProxy64->shellcode_size);
  (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), v9, &v9);
  if ( TinyCallProxy64->FlushInstructionCache )
  {
    FlushInstructionCache = TinyCallProxy64->FlushInstructionCache;
    FlushInstructionCache(-1LL, shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size));
  }
  pShellcodeAddress = shellcodeAddress;
  random_address = mw_pick_random_address(TinyCallProxy64);
  v11 = pShellcodeAddress(pAPIFunc, random_address, v13, a3, a4, a5, a6, a7);
  if ( (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), 0x40LL, &v10) )
    wrapper_memcpy(shellcodeAddress, clean_code, TinyCallProxy64->shellcode_size);
  (TinyCallProxy64->VirtualProtect)(shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size), 32LL, &v10);
  if ( clean_code )
    (TinyCallProxy64->free)(clean_code);
  if ( TinyCallProxy64->FlushInstructionCache )
  {
    v17 = TinyCallProxy64->FlushInstructionCache;
    v17(-1LL, shellcodeAddress, LODWORD(TinyCallProxy64->shellcode_size));
  }
  return v11;
}

ANTIVM

テクニック

説明

時間ベースのデバッグ対策チェック

cpuid命令のレイテンシーを測定することにより、タイミング・ベースの回避手法を使用します。ループ内にrdtsc命令を使用してcpuid呼び出しをラップし、実行時間が指定されたしきい値を超えると、デバッガーまたは仮想マシンの存在を検知します。

ハイパーバイザーチェック

cpuid命令を実行し、返されたECXレジスタ内の「ハイパーバイザー・ビット」（ビット31）をチェックすることで、標準的なVM対策チェックを実行します。このビットが1に設定されている場合は、ハイパーバイザーが存在することを示します。

ベンダーIDチェック

ハイパーバイザー情報リーフ（0x40000000）をクエリすることにより、アンチVMチェックを実行します。EAXの戻り値が0x40000000以上である場合、アクティブなハイパーバイザー固有のCPUIDリーフが存在することを示します。

合計RAMをチェック

物理RAM合計をクエリすることにより、サンドボックス対策チェックを実行します。NtQuerySystemInformationを呼び出して、合計メモリをギガバイト単位で計算し（バイト数を30個右シフトさせることで）、結果が4GB未満の場合は終了します。

プロセッサ数のチェック

CPUコア数を照会することにより、サンドボックス対策チェックを実行します。NtQuerySystemInformationを呼び出してNumberOfProcessorsを取得し、それをANTIVMモジュールの構成で指定された値と比較します。

ユーザー名チェック

現在のユーザーのユーザー名をANTIVMモジュールで指定された値と比較します。

コンピューター名チェック

コンピューター名が数字のみで構成されているかどうかをチェックします。

現在の作業ディレクトリをチェックします

現在のモジュール・パスがデスクトップ上にあるかどうかを確認します。

アンチ仮想化チェックが失敗すると、ZwTerminateProcess()への呼び出しによってプロセスが終了します。

NTDLLのフックを解除する

アンフック・ルーチンでは、現在ロードされているntdll.dllの.textセクションを、クリーンでマッピングされたコピーと比較します。呼び出し（0xE8）とjmp（0xE9）命令をスキャンし、命令タイプまたは宛先アドレスが2つのバージョン間で異なる場合にフックを検知します。フックが見つかると、マルウェアは元のクリーンバイトを復元してメモリ内の ntdll.dllをパッチ適用します。

for ( i = 0; ; ++i )
{
  result = v5[6];
    if ( i >= result )
      break;
    function_rva = *(v7 + 4LL * *(v6 + 2LL * i));
    if ( *(a1->ntdll_image_base + function_rva) != *(a2->clean_ntdll_buffer + function_rva) )// check if the ntdll functions are hooked
                                                // This is done by comparing the first byte of the fuinction.
    {
      if ( check_if_valid_address(a1, a1->ntdll_image_base, function_rva) )
        mw_clean_dll(a1, a2, function_rva, a1->ntdll_image_base, a2->clean_ntdll_buffer);
    }
  }
  return result;
}

永続性

HijackLoaderの永続性メカニズムもその構成によって制御されます。この動作は、次のフラグによって決定されます。

  • LNKのショートカット（フラグ1）フラグが1に設定されている場合、HijackLoaderは独自の実行可能パスを指すLNKファイルを作成します。このショートカットは、ログオン時に確実に実行されるように、ユーザーのスタートアップフォルダーに移動されます。
  • スケジュールされたタスク（フラグ3）フラグが3に設定される場合、modTaskモジュールを使用してスケジュールされたタスクを作成します。

これらのフラグに加えて、HijackLoaderはPERSDATAモジュールをチェックすることで別の永続メカニズムを作成できます。このモジュールには、2番目のスケジュールされたタスクを作成するために必要な設定データ（タスク名など）が含まれています。

注入方法

注入タイプ

説明

注入するファイルがDLLまたはインジェクション・フラグが0x3未満の場合、

最終ペイロードは同じプロセスの下で実行されるため、DLLペイロードは空洞化されたDLLにマッピングされます。

最終ペイロードが.NET/CLRファイルではない場合、インジェクションフラグ0x20が、0x80がです

ロールバックされたNTFSトランザクションを使用して、rshellペイロードをダミーtinystub PEに隠します。次に、この隠れたPEを中断されたプロセス（FIXED）にマッピングし、ESWRモジュールがメインスレッドのコンテキストをハイジャックしてrshellコードを実行します。

最終ペイロードが.NET/CLRファイルではない場合、インジェクション・フラグ0x20と0x80は両方ともです。

FIXEDモジュールはディスクにドロップされ、中断されたプロセスとして作成されます。その後、ESWRモジュールを使用して、FIXEDプロセス内でrshellペイロードの実行をトリガーします。

インジェクション・フラグ0x100はtrueに設定され、0x20はfalseに設定されます

rshellを、CLRパスの.NETヘッダーを解析することで特定された、中断された正規システム実行可能ファイル（例：MSBuild.exe）に挿入します。ペイロードは、スレッド・コンテキスト・ハイジャックによって実行される前にメモリー内でパッチ適用され、独自のPEヘッダーがクリアされます。

インジェクションフラグ0x4と0x80は両方ともtrueです。

条件付きでFIXEDモジュールをドロップし、rshellペイロードをロールバックされたトランザクションファイル（tinystub）に保管します。これをセクション・マッピングを介して中断中のFIXEDプロセスに注入します。実行はスレッド・コンテキスト・ハイジャックによってトリガーされ、その後、オプションでPEヘッダーが消去されます。

インジェクションフラグ0x4はtrue、0x80はfalseです。

HijackLoaderは、サスペンドされたプロセスを起動し、その中に直接新しいメモリセクションを作成してマップし、そして、パッチを当てたrshellモジュールをこのセクションに書き込みます。実行は、メインスレッドのコンテキストをハイジャックしてrshellコードを実行することによってトリガーされます。

インジェクションフラグ0x4は、0x10はです。

FIXEDモジュールを起動し、メイン・メモリー・セクションを消去して、ペイロードにコピーすることにより、プロセス・ホローイングを実行します。「MZ」ヘッダーは2つの別々の呼び出しで記述されます。最後に、パッチが適用されたrshellモジュールを挿入し、PEBを変更し、オプションでペイロードのPEヘッダーを消去します。

インジェクション・タイプは4に設定

セクション・マッピングを介してメイン・ペイロードとrshellモジュールを挿入します。セクションが作成され、パッチが適用されたrshellとペイロードがローカルに追加され、中断されたターゲット・プロセス（システム・ネイティブのバイナリーまたはCUSTOMINJECTモジュール）にマッピングされます。メインスレッドのコンテキストをハイジャックしてrshellのエントリー・ポイントを指すことによって実行がトリガーされます。

まとめ

LATAM地域内のユーザーは、官公庁・自治体や司法機関を装ったEメールのターゲットになることが増えており、このテーマはしばしば緊迫感を感じさせます。X-Forceは、被害者を悪意のあるダウンローダーに誘導するリンクやZIP添付ファイルが日常的に使用されるキャンペーンを観察しています。2025年8月から10月にかけて、X-Forceは、コロンビアに居住する可能性のあるユーザーを標的にしたEメールが複数存在し、公式文書のダウンロードによってコロンビアの司法長官事務所を模倣したEメールが複数送られていることがわかりました。HijackLoaderは、回避および永続メカニズムを備えたモジュール式マルウェアであり、主にZIPまたはRARアーカイブ・ファイルとしてユーザーに配信されます。アーカイブには、サイドロードされて追加のペイロードに使用される悪意のあるDLLが含まれています。これらのEメールはおそらく単一のキャンペーンの一部であり、攻撃者がHijackLoaderを利用してPureHVNC RATを実行するという点で重要です。これは、X-Forceがこれまで観測したことのない組み合わせです。

推奨事項

  • ファイル拡張子の表示を有効にする。
  • DuckDNSドメインとの間のトラフィックを許可する運用の必要性を検討する。
  • Eメールの添付ファイルを開いたり、信頼できない、または未知のソースからの埋め込みリンクをクリックしたりする場合は注意する。
  • このレポートで詳しく説明しているプロセス、ネットワーク・トラフィック、およびIoCを調べる。
  • エンドポイント・セキュリティー・ソフトウェアをインストール、更新、構成する。
  • エンドポイントルールを監視する。

侵害の兆候

分類

インジケータータイプ

コンテキスト

troquelesmyj[@]gmail.com

Eメール

送信者Eメール

nuevos777[.]duckdns[.]org

ドメイン

C2ドメイン

7octubredc[.]duckdns[.]org

ドメイン

C2ドメイン

dckis13[.]duckdns[.]org

ドメイン

C2ドメイン

dckis7[.]duckdns[.]org

ドメイン

C2ドメイン

enviopago[.]mysynology[.]net

ドメイン

C2ドメイン

maximo26[.]duckdns[.]org

ドメイン

C2ドメイン

sofiavergara[.]duckdns[.]org

ドメイン

C2ドメイン

hxxps[:]//drive[.]google[.]com
/file/d/1haApB_GMwZb83nw1
YPdIDTLMtksRjkh/view?pli=1

URL

SVGホスト

hxxps[:]//drive[.]google[.]com/
file/d/1wzunPhL33jq_ZQug6k0
3hgxi4Eu57VfN/view?usp=sharing

URL

SVGホスト

e7120d45ee357f30cb602c0d93
ed8d366f4b11c251c2a3cd4753c5
508c3b15e5

SHA256

ZIP

7e64102405459192813541448c8
fbadc481997a2065f26c848f1e35
94ca404c9

SHA256

RAR

14becb3a9663128543e1868d09
611bd30a2b64c655dfb407a727a
7f2d0fb8b7e

SHA256

HijackLoader

57c49cff3e71bc75641c78a5a72d
8509007a18032510f607c042053
c9d280511

SHA256

HijackLoader

7c3d9ad3f1bd890e3552dc6709
3e161395d4e1fab79ec745220af1
e19a279722

SHA256

HijackLoader

ce42377d3d26853fd1718f69341
c0631208138490decc8e71a5622
df5e9e1f59

SHA256

HijackLoader

a0e4979b4e4a706286438d48f
0e21b0d92cc7bd40c1c3ea5b98
72089aaec0124

SHA256

HijackLoader

6d93a486e077858b75eb814e
9a7bda181189d5833adce7cec7
5775cfda03f514

SHA256

HijackLoader

bdca9849d7263d508b7ed4db
bf86bd628932b117b45933cb28
a7e78171d05cdd

SHA256

HijackLoader

1ae61edf35127264d329b7c0e2
bddb7077e34cc5f9417de86ab
6d2d65bad4b4f

SHA256

HijackLoader

2ec31a8a36d73fa8354a7ac0c
39506dbe12638a0dc1b900f5
7620b8d53ae987f

SHA256

HijackLoader

776bbaa44c7788e0ccd5945
d583de9473b6246c4490669
2cb0a52e6329cb213a

SHA256

HijackLoader

9e9997b54da0c633ffcf0a4fb
94e67b482cf7a89522d1b254
778d0c6c22c70ee

SHA256

HijackLoader

b2f733b67f1ef06d9e5ce76d3
cc848f6e7e3ec2d0c363c76d
5175c6cf85f979b

SHA256

HijackLoader

c93e70d20ba2948a6a8a013
df68e5c4d14d59e5f549417d
1a76833bd1c8efd22

SHA256

HijackLoader

d550a2a327394148c0c3d05
df2fe0156783fc313b4038e45
4f9aa2cb2f0f2090

SHA256

HijackLoader

e668ca17fcdfa818aac35f1206
4d10a0288d7d9c6b688966b
695125b760567d6

SHA256

HijackLoader

fe6d0ee45a70359008b2916
e5116c411a955978b5694cc4
57683ab7b26590e47

SHA256

HijackLoader

977f2f18ff13c93406c5702f83
c04a9412760e02028aefc7c1c
b7d6f2797a9b5

SHA256

HijackLoader

768ca38878c5bb15650343ce
49292315a9834eaf62fad1442
2d52510c3787228

SHA256

HijackLoader

47245b7d2d8cb6b92308deb
80399e0273193d5bca39da8
5a6b2a87a109d18d85

SHA256

HijackLoader

4484b0ac51536890301a0e6
573b962e069e31abc4c0c6f0
f6fc1bf66bf588a93

SHA256

HijackLoader

0113d9f3d93069a29458b3b4
c33610aae03961014df60a9e8
59f3104086d886a

SHA256

HijackLoader

22d474e729d600dcd84ce139
f6208ce3e3390693afa7b52b0
615174fca6d0fe2

SHA256

HijackLoader

2cbfc482e27a2240a48d2fb6f
6f740ff0f08598f83ae643a507
c6f12a865dc28

SHA256

HijackLoader

96ee786c5b6167c0f0f770efba
ce25e97d61e127ef7f58a879b6c
f4b57e202c3

SHA256

HijackLoader

33d0c63777882c9ec514be06
2612a56fdb1f291fcb6676c494
80d3cd4501c508

SHA256

PureHVNC

afecefa6d9bd1e6d1c9214420
9eda320e1fe0f196ffa8e8bc114
e7d3a25503f6

SHA256

PureHVNC

85641c8fb94e8e4c5202152dc
bb2bb26646529290d984988
ecb72e18d63c9bc5

SHA256

PureHVNC

1bf3a1cf9bc7eded0b8994d44
cf2b801bf12bc72dc23fb337dd
d3a64ac235782

SHA256

PureHVNC

IBM X-Force Premier Threat Intelligenceが、FiligranのOpenCTIと統合され、この脅威アクティビティなどに関する実行可能な脅威インテリジェンスを提供しています。脅威アクター、マルウェア、業種・業務リスクに関する洞察にアクセスします。X-Force OpenCTIコネクタを導入すれば、検知と対応を強化し、IBM X-Forceの専門知識でサイバーセキュリティーを強化しましょう。X-Force Premier Threat Intelligenceの30日間トライアルを今すぐご利用ください。

Thinkニュースレター

あなたのチームは時間内に次のゼロデイを受け入れますか？

AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。

サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。

https://www.ibm.com/jp-ja/privacy
関連ソリューション
脅威管理サービス

最新の脅威に対して予測、防御、対応を行うことで、ビジネス・レジリエンスを高めます。

 

 脅威管理サービスはこちら
脅威の検知と対応ソリューション

IBMの脅威検知および対応ソリューションを使用して、セキュリティーを強化し、脅威の検知を迅速化します。

 脅威検知ソリューションの詳細はこちら
モバイル脅威防御（MTD）ソリューション

IBM MaaS360は、モバイル環境を包括的に保護するモバイル脅威防御ソリューションを提供します。

 モバイル脅威対策ソリューションを見る
次のステップ

包括的な脅威管理ソリューションを活用し、サイバー攻撃からビジネスを確実に保護します。

 脅威管理サービスはこちら 脅威対応のブリーフィングを予約する