innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

Winos 4.0マルウェア、LetsVPNとQQブラウザの偽インストーラーで拡散 – Silver Fox APTが中国語圏を標的

Winos 4.0マルウェア、LetsVPNとQQブラウザの偽インストーラーで拡散 - Silver Fox APTが中国語圏を標的 - innovaTopia - (イノベトピア)

Last Updated on 2025-05-26 07:44 by admin

Rapid7は2025年2月、LetsVPNやQQブラウザの偽インストーラーを使用してWinos 4.0マルウェアを配信するサイバー攻撃キャンペーンを発見しました。

このキャンペーンはCatenaと呼ばれる多段階メモリ常駐ローダーを使用し、従来のアンチウイルスツールを回避します。Winos 4.0はC++で開発され、Gh0st RATを基盤とするリモートアクセス型トロイの木馬で、データ収集、リモートシェルアクセス、DDoS攻撃機能を持ちます。

マルウェアは香港でホストされるC2サーバーとTCPポート18856およびHTTPSポート443で通信します。2025年2月には台湾の国税局を装ったフィッシングメールによる攻撃も確認されました。攻撃は中国語圏環境を主要標的とし、Silver Fox APTグループ(別名Void Arachne)に関連します。4月には戦術変更が観察され、Microsoft Defenderの除外設定追加やQihoo 360の360 Total Securityプロセス検出機能が追加されました。

References:
文献リンクHackers Use Fake VPN and Browser NSIS Installers to Deliver Winos 4.0 Malware

【編集部解説】

今回のWinos 4.0マルウェアキャンペーンは、サイバー攻撃の手法が急速に進化していることを示す重要な事例です。特に注目すべきは、攻撃者が従来のファイルベースの検出を回避するため、完全にメモリ内で動作する「ファイルレス攻撃」を採用している点でしょう。

このCatenaローダーと呼ばれる感染チェーンは、NSISインストーラーという正規のソフトウェア配布形式を悪用しています。NSISは多くの開発者が使用する一般的なインストーラー作成ツールであり、これを偽装することで初期段階での検出を困難にしています。

技術的な観点から見ると、リフレクティブDLLインジェクションという高度な手法を使用している点が興味深いところです。この技術により、マルウェアはディスクに痕跡を残すことなく、メモリ内で直接実行されます。従来のアンチウイルスソフトウェアの多くはファイルスキャンに依存しているため、この手法は非常に効果的な回避策となっています。

Void Arachne(Silver Fox)グループの活動パターンを見ると、2024年6月のTrend Microによる初回報告以降、継続的に手法を進化させていることが分かります。特にAI技術を悪用したヌード化ツールやディープフェイク生成ソフトウェアを餌として使用する手法は、現代のデジタル社会の脆弱性を巧妙に突いています。

地政学的な側面も見逃せません。中国のグレートファイアウォールによる制約を回避したいユーザーの心理を悪用し、VPNソフトウェアを装った攻撃は、政治的・社会的背景を深く理解した戦略的な攻撃といえるでしょう。

このような攻撃の増加は、企業のセキュリティ対策に根本的な変化を求めています。従来のシグネチャベースの検出では限界があり、行動分析やゼロトラスト・アーキテクチャの導入が急務となっています。

長期的な視点では、AIを活用した攻撃と防御の軍拡競争が激化することが予想されます。攻撃者がより洗練された手法を開発する一方で、防御側もAIベースの異常検知システムの開発を加速させる必要があります。

【用語解説】

NSIS(Nullsoft Scriptable Install System)
正規のソフトウェアインストーラー作成ツール。家の設計図のようなもので、本来は建築(ソフトウェアインストール)のために使われるが、悪意のある者が偽の設計図を作って罠を仕掛けることができる。

リフレクティブDLLインジェクション
メモリ内でプログラムを直接実行する技術。通常のプログラムがハードディスクに足跡を残すのに対し、この手法は記憶の中だけで動作するため、従来の検査では発見が困難である。

ファイルレス攻撃
ディスクにファイルを保存せず、メモリ内のみで動作する攻撃手法。証拠を残さない忍者のような攻撃方法といえる。

C2サーバー(Command & Control)
攻撃者がマルウェアに指令を送る司令塔。将棋の対局における対戦相手のような存在で、遠隔から駒(感染したPC)を操作する。

Void Arachne(Silver Fox)
中国語圏を標的とする攻撃グループ。2024年4月にTrend Microによって初めて確認され、AI技術を悪用した巧妙な社会工学的攻撃を特徴とする。

【参考リンク】

Rapid7(外部)
サイバーセキュリティプラットフォームを提供する米国企業。20年以上のデータに基づくAI駆動の脅威検知サービスを展開

Trend Micro(トレンドマイクロ)(外部)
日本に本社を置く世界的なサイバーセキュリティ企業。Void Arachneグループの活動を初めて詳細に報告

Tencent(テンセント)(外部)
中国の大手インターネット・テクノロジー企業。1998年設立で、QQブラウザやWeChat等の開発元

Qihoo 360(外部)
中国のインターネットセキュリティ企業。360 Total Securityなどのアンチウイルスソフトウェアを開発

【参考動画】

【編集部後記】

皆さんは普段、どのようなソフトウェアをダウンロードされていますか?今回のWinos 4.0事案は、VPNやブラウザといった日常的に使用するツールが攻撃の入り口となった事例です。特に興味深いのは、完全にメモリ内で動作する「ファイルレス攻撃」という手法が使われている点です。従来のアンチウイルスソフトでは検出が困難なこの技術について、皆さんはどのような対策が有効だと思われますか?また、AIを悪用したディープフェイク技術と組み合わせた攻撃手法について、どのような社会的影響を懸念されますか?サイバーセキュリティの最前線で起きている技術革新について、一緒に考えてみませんか?

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

投稿者アバター
TaTsu
デジタルの窓口 代表 デジタルなことをまるっとワンストップで解決 #ウェブ解析士 Web制作から運用など何でも来い https://digital-madoguchi.com
自己紹介の全文を表示
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » Winos 4.0マルウェア、LetsVPNとQQブラウザの偽インストーラーで拡散 – Silver Fox APTが中国語圏を標的

Latest News