財務省になりすましてマルウェア配布、日本を標的とするサイバー攻撃特定　Norton、Avast、Kasperskyを回避する機能があり検出は困難

HoldingHandsの感染フロー
https://news.mynavi.jp/techplus/article/20251021-3569637/images/003.jpg

Fortinetは10月17日（米国時間）、「Tracking Malware and Attack Expansion: A Hacker Group’s Journey across Asia｜FortiGuard Labs」において、日本を含むアジア全域を標的とするサイバー攻撃キャンペーンを特定したと報じた。

キャンペーンの発見当初は台湾を標的としていたが、半年余りの間に日本、マレーシアへと標的を拡大したという。

■侵害経路

初期の感染経路はフィッシングメールとされる。標的国の公的機関を装ったメールに多数のリンクを含むPDFファイルまたはOfficeドキュメントを添付し、そのリンクから悪意のある偽サイトへ誘導してマルウェアを含むアーカイブファイルをダウンロードさせている。なりすまし対象の公的機関は財務省が多いと推定されているが、他の公的機関の公文書、発注書のケースもあるという。

マルウェアをホストしているサーバはTencent Cloudと見られ、そのアカウントの調査からさまざまな関連文書が特定されている。これら文書の分析によると、中国を標的とする2024年3月の攻撃を皮切りに、2025年1月に台湾、4月に日本、6月にマレーシアへと拡大したとみられている。

配布されたアーカイブファイルにはEXEファイルが含まれており、このファイルを実行することでマルウェアに感染する。当初は遠隔操作型トロイの木馬（RAT: Remote Administration Trojan）の「Winos 4.0（別名: ValleyRAT）」を配布していたが、2月以降は「HoldingHands（別名: Gh0stBins）」が配布された。HoldingHandsはNorton、Avast、Kasperskyを回避する機能があり、加えてタスクスケジューラーの自動復帰機能を悪用するため検出は困難とされる。（以下ソース）

2025/10/21 12:15
https://news.mynavi.jp/techplus/article/20251021-3569637/
https://news.mynavi.jp/techplus/article/20251021-3569637/images/001.jpg