Type to search

マルウェア

APT37、学術イベントを装う「Operation Capsule Vault」でRokRATを拡散

実在する学術イベントを悪用し、標的型フィッシングを展開

2026年6月、北朝鮮系APTグループAPT37が、**「Operation Capsule Vault」**と呼ばれる標的型攻撃キャンペーンを展開していたことが確認された。攻撃では、実在する学術イベントの案内を悪用したスピアフィッシングメールを送り付け、RokRATマルウェアの感染を狙っていた。

APT37は、ソウル・COEXで開催された**「なぜ今、元山カルマ観光なのか?」といった実在するイベント情報を利用し、受信者に不審を抱かせにくい内容で攻撃を実施した。信頼性の高いイベントを装うことで標的を誘導し、悪意のあるファイルを開かせてRokRAT**を配布する手口が確認されている。

Dropbox経由でRokRATを配布、ファイルレス手法で検知を回避

攻撃は、学術イベントの資料集を装ったメールから始まる。しかし、メールにはPDFファイルは添付されておらず、Dropboxへのリンクが記載されていた。リンクを開くとISOイメージファイルがダウンロードされ、その中にはPDF文書を装った**.pif形式の実行ファイルが含まれている。被害者がこのファイルを実行すると、正規のPDF文書が表示される一方で、バックグラウンドではRokRAT**が起動する仕組みとなっている。

RokRATは、ディスク上に痕跡を残しにくいファイルレス手法を採用し、検知を回避する。また、DropboxpCloudYandex Cloudなどの正規クラウドサービスをコマンド&コントロール(C2)通信に利用することで、通常のネットワーク通信に紛れて活動する。感染後は、システム情報の収集や遠隔操作を実行し、標的端末に対する継続的なアクセスを維持することが可能となる。

クラウド型C2を継続活用、EDRによる監視強化が重要

 

Genians Security Centerの分析によると、今回確認されたクラウドベースのC2インフラやコマンド処理の手法は、過去に確認されたRokRATの攻撃キャンペーンと高い共通性を示している。これらの特徴から、APT37が既存の攻撃基盤を継続的に改良しながら、標的型攻撃を展開している可能性が指摘されている。

セキュリティ担当者は、シグネチャベースの検知だけでなく、EDRを活用した振る舞い検知や不審なプロセスの監視を強化することが重要だ。また、クラウドストレージサービスを悪用した通信やファイルレスマルウェアの実行、ISO・PIFファイルを利用した感染経路についても継続的に監視し、高度化するAPT攻撃への対策を講じる必要がある。

 

 

 

コメントを残す

mainichisecuをもっと見る

今すぐ購読し、続きを読んで、すべてのアーカイブにアクセスしましょう。

続きを読む