VHDファイルを悪用したDEAD#VAXキャンペーン確認、AsyncRAT配布を観測

DEAD#VAXキャンペーン、IPFS基盤VHDファイルを悪用したAsyncRAT配布

新たに確認されたマルウェアキャンペーン「DEAD#VAX」が、セキュリティ専門家の注目を集めている。本キャンペーンは、**InterPlanetary File System（IPFS）**上にホスティングされたVHDファイルを用い、フィッシングメールを通じてAsyncRATを配布する手法を採用している。

調査によると、攻撃者は複数の回避技術を組み合わせることで、従来のセキュリティ製品による検知を回避するよう設計していたという。

Securonix の研究者は、攻撃の初期段階において、VHDファイルを購入注文書を装ったPDFファイルに変換し、受信者に送信していた点を指摘している。受信者がファイルを開くことで、最終的にターゲットシステムへの不正アクセスが試みられる仕組みとされる。

フォレンジック回避と持続的制御を狙う多段階攻撃の進化

本キャンペーンでは、マルウェア検知を回避するために複数の高度な手法が用いられている。攻撃者はVHDファイルを利用してシステムにシェルコードを注入し、マルウェアをディスク上に書き込まずに実行することで、フォレンジック分析を困難にしている。

さらに、AsyncRATはWindowsの正規プロセスに組み込まれ、システムに対する強固な制御を確立した上で、データ収集や継続的な監視を実行するとされる。

攻撃の過程では、Windows Script File（WSF）、難読化されたバッチスクリプト、自己展開型のPowerShellローダーなど、複数の要素を組み合わせた多段階戦略が確認されている。これらの各構成要素は単体では目立った脅威に見えにくいものの、連鎖的に動作することで深刻な不正活動を引き起こす。

すべての処理が主にメモリ上で実行される点も特徴であり、従来型のセキュリティ対策では検知が難しい攻撃手法とみられている。

ファイルレス型トロイの木馬による長期的な持続性

AsyncRATは、ファイルを残さずに実行されるファイルレス方式を採用しており、攻撃者に長期的なシステム侵入を可能にしている。マルウェアは主にメモリ上で動作し、ディスク上に痕跡を残さない構造によって、フォレンジック調査や追跡を回避するとされる。

この特性により、セキュリティ専門家による脅威検知やインシデント対応は一層困難となる。攻撃者はさらに、実行頻度の調整やCPU使用率の最適化といった手法を用い、システムへの影響を最小限に抑えつつ活動を継続することが可能とみられている。

こうした状況を受け、専門家は従来型の防御メカニズムを再評価し、メモリベースの脅威を前提とした新たな検知・対応戦略を構築する必要があると指摘する。

DEAD#VAXキャンペーンは、信頼されるインフラや正規機能を悪用して検出を回避する近年の攻撃トレンドを象徴する事例であり、組織には本手法に対する理解と防御体制の強化が求められている。