人気のあるHuorong Securityアンチウイルスソフトのそっくりな偽装版が、Winos4.0フレームワークを基盤とする高度なリモートアクセストロイの木馬(RAT)「ValleyRAT」を、セキュリティ強化を目的として利用していたユーザーに配布するために使用された。
この攻撃キャンペーンは、中国語圏の脅威グループ「シルバーフォックスAPT」によるものとみられている。同グループは人気中国製ソフトウェアのトロイの木馬化版を配布することで知られており、今回はタイポスクワッティングされたドメインを利用してトロイの木馬化されたNSISインストーラーを配信。これにより高度なユーザーモードステルス機能とインジェクション機能を備えたフル機能のバックドアが展開される。
セキュリティ意識の高いユーザーを騙すために作られた偽サイト
火绒セキュリティ(中国語表記:火绒)は、北京火绒網絡科技有限公司が開発した無料のアンチウイルス製品であり、中国本土で広く利用されている。
攻撃者は、正規のhuorong.cnをほぼ完璧に模倣した偽サイトとして、末尾に余分な「a」が付いたhuoronga[.]comを登録した。このタイポスクワッティング手法は、アドレスを誤入力したユーザーや、検索エンジンの汚染やフィッシングリンク経由で流入したユーザーを捕捉する。偽サイトは十分に説得力があり、ほとんどの訪問者は何かがおかしいと疑う明確な理由を持たないだろう。
訪問者がダウンロードボタンをクリックすると、リクエストは最終ペイロードがCloudflare R2ストレージ(信頼性と可用性から選ばれた正当なクラウドサービス)から配信される前に、中間ドメイン(hndqiuebgibuiwqdhr[.]cyou)を経由して密かにルーティングされる。 ファイル名はBR火绒445[.]zipであり、実行時まで偽装を維持するため、火绒(Huorong)の中国語表記が使用されている。
ダウンロードをクリックした後はどうなりますか
ZIPアーカイブ内にはトロイの木馬化されたNSISインストーラー(Nullsoft Scriptable Install System)が含まれています。これは多くの正規アプリケーションで使用される正当なオープンソースフレームワークです。ここでこれを使用するのは意図的なものです:NSISで構築された実行ファイルはカスタムパッカーよりも警戒されにくく、インストール体験は通常のものに感じられます。
実行されると、インストーラーはデスクトップに「火绒.lnk」という名前のショートカットを作成し、アンチウイルスが正常にインストールされたという錯覚を強める。
同時に、ユーザーのTempディレクトリにファイル群を抽出する。その大半は正規のサポートライブラリか、実際のインストールを模倣するおとり実行ファイルであり、FFmpegマルチメディアDLLのコピー、.NET修復ツールを装ったファイル、Huorong診断ユーティリティを模倣した別のファイルなどが含まれる。
悪意のあるコンポーネントには以下が含まれます:
- WavesSvc64.exe: メインローダー。Wavesオーディオサービスプロセスを装っている
- DuiLib_u.dll: DLLサイドローディングに使用されるハイジャックされたDirectUIライブラリ
- box.ini: シェルコードを含む暗号化されたファイル
Windows マルウェアをロードするようにWindows 仕組み
中核となる手法はDLLサイドローディングであり、Windows 騙して正規のファイルではなく悪意のあるファイルWindows 使用する技術である。
WavesSvc64.exeは正当なプログラムのように見える——そのPDBパスはゲームアプリケーションのコードディレクトリを参照している——ため、Windows 問題なくこれをWindows 。実行時、Windows DuiLib_u.dllも同時にロードする。このDLLは悪意のあるバージョンに置き換えられており、box.iniから暗号化されたシェルコードを読み取り、復号化してメモリ内で直接実行する。
単一の巨大なバックドア実行ファイルをドロップする代わりに、このチェーンはDLLサイドローディングを介してディスク上にドロップされたファイル(例:box.ini)から読み込まれたメモリ内シェルコードの実行で完結する。このシェルコードベースのチェーンは、Rapid7が文書化したCatenaローダーのパターンと一致する。このパターンでは、署名付きまたは正当に見える実行ファイルが.ini設定ファイルに攻撃コードをバンドルし、反射型インジェクションを用いてそれを実行しながら、フォレンジック上の痕跡を最小限に抑える。
バックドアが恒久化する仕組み
行動分析は体系的な感染経路を示している:
1. ディフェンダー除外
マルウェアは高整合性レベルでPowerShellを生成し、Windows その永続化ディレクトリを無視するよう指示する(AppData\Roaming\trvePathおよびその主要プロセス(WavesSvc64.exe)を削除します。これらのコマンド実行後、Windows マルウェアが選択したパス/プロセスをスキャンする可能性が低くなり、ネイティブ検出率が大幅に低下します。
2. 持続性
「Batteries」という名前のスケジュールされたタスクを作成します(以下のように表示されます) C:\Windows\Tasks\Batteries.job). 以降の起動のたびに、タスクが起動する WavesSvc64.exe /run パーシステンスディレクトリから、Defender除外ルールを再適用し、コマンドアンドコントロール(C2)に再接続する。
3. ファイル更新
シグネチャベースの検出を回避するため、マルウェアはWavesSvc64.exe、DuiLib_u.dll、libexpat.dll、box.ini、vcruntime140.dllを削除し再書き込みします。これらのファイルの削除だけでは感染を完全に修復できない可能性があります。マルウェアは実行中にコアコンポーネントを再書き込みする能力を示しているためです。
4. レジストリの保存
設定データ(エンコードされたC2ドメインyandibaiji0203.[]comを含む)は、 HKCU\SOFTWARE\IpDates_info. 二次キーが HKCU\Console\0\451b464b7a6c2ced348c1866b59c362e 暗号化されたバイナリデータを保存しており、マルウェアの設定やペイロードのステージングに使用される可能性が高い。
検出を回避する方法
Defenderを無効化するだけでなく、ValleyRATは検出と分析を回避するための措置を講じる。
デバッガーやフォレンジックツールを、特徴的なウィンドウタイトルの有無で検知する。BIOSバージョン、ディスプレイアダプター、VirtualBoxレジストリキーを調査し、仮想マシン(研究者がマルウェアを安全に分析するために使用するサンドボックス)を検出する。また、利用可能なメモリとディスク容量を確認し、ロケールと言語設定を検査する。これはおそらく、完全に展開する前に中国語システム上で動作していることを確認するためのジオフェンシング対策と考えられる。
指揮統制通信
Winos4.0ステージャーはTCPポート443経由で161.248.87.250のC2サーバーに接続する。TCP 443の使用はポートレベルでの偽装を提供する。しかし、検査の結果、標準的なTLS暗号化HTTPSではなく、カスタムバイナリプロトコルが使用されていることが判明した。
ネットワーク侵入検知システムは、Winos4.0のCnCログインおよびサーバー応答メッセージに対して重大レベルの警告を発し、ProcessKillerのC2初期化に対して高レベルの警告を発した。
C2トラフィックが発信元として観測された rundll32.exe, which executed with the command line “rundll32.exe”—lacking the typical <DLL>,<Export> argument structure. In environments with command-line and parent-child process monitoring, this execution pattern is a high-confidence anomaly. Sandbox analysis extracted multiple WinosStager plugin DLLs from the rundll32 process, confirming the modular architecture that makes ValleyRAT particularly dangerous: capabilities are not bundled in a single monolithic binary but downloaded on demand.
ProcessKillerコンポーネントは特に懸念される。ネットワークテレメトリはProcessKillerのC2初期化を示しており、これは過去の報告でセキュリティソフトウェアを終了させるモジュールと関連付けられたものと一致する。過去のValleyRAT/Winos4.0キャンペーンはQihoo 360、Huorong、Tencent、Kingsofのセキュリティ製品を標的としており、これには偽装した製品を含むセキュリティソフトウェアを終了させる可能性が示唆されている。
侵害後の対応能力
要するに、一度インストールされると、攻撃者は被害者を監視し、機密情報を盗み、システムを遠隔操作できる。マルウェアが足場を築いた後の動作は、サンドボックス分析により以下の通り確認された:
- rundll32プロセス内でSetWindowsHookExWを介してインストールされたシステム全体のキーボードフックによるキーロギング。すべてのキー入力をキャプチャする。
- プロセス注入: WavesSvc64.exe は、ステルス的なコード実行のために、サスペンド状態のプロセスを作成し、他のプロセスのメモリに書き込みを行います。
- 認証情報のアクセス:マルウェアは認証情報関連のレジストリキーを読み取り、ブラウザのクッキーファイルにアクセスする。
- システム偵察:ホスト名、ユーザー名、キーボードレイアウト、ロケール、実行中のプロセス、物理ドライブを照会する。
- rundll32.exe内部に作成されたRWXメモリ領域は、メモリ内実行と整合性があり、追加でドロップされたペイロード実行ファイルへの依存度を低減する。
- 自己消去:自身の実行ファイルを削除し、さらに10個以上の追加ファイルを削除してフォレンジック復元を妨害する。
- マルウェアは、日付文字列「2026.2.5」とパス「C:\ProgramData\DisplaySessionContainers.log」を含むミューテックスを作成し、その場所にログファイルを書き込みます。
このキャンペーンの背後にいるのは誰ですか?
このキャンペーンはシルバーフォックスの確立された手口に合致する。同グループは広く信頼されている中国製ソフトウェアのトロイの木馬化されたインストーラーを繰り返し利用し、ValleyRATおよびWinos4.0フレームワークを配布してきた。過去のエサにはQQブラウザ、LetsVPN、ゲームアプリケーションなどが含まれる。
セキュリティ製品を装う行為は、被害の深刻度を高める。被害者は単なる一般ユーザーではなく、積極的に保護を求めている人々である。
標的設定は一貫している。中国語のファイル名、Huorongルアー、組み込みのロケールチェックはすべて、地理的に焦点を絞ったキャンペーンを示している。
しかし、2025年3月にGitHubでValleyRATビルダーが公に流出することで、参入障壁は大幅に低下した。研究者らは2024年11月から2025年11月にかけて約6,000件の関連サンプルを特定したが、その85%は後半期に集中して出現している。この増加傾向は、ツールが単一のオペレーターを超えて拡散していることを示唆している。
安全に過ごすには
このキャンペーンは、信頼がいかに簡単にユーザーに対して悪用されうるかを示している。攻撃者にはゼロデイ攻撃は必要なかった。必要なのは、説得力のあるウェブサイト、現実味のあるインストーラー、そして多くの人が製品名を検索して最初の検索結果をクリックするという知識だけだった。
誘因がセキュリティ製品である場合、その欺瞞はさらに効果的である。
確認すべき事項は以下の通りです:
- ダウンロード元を確認してください。正規のHuorong Security公式サイトはhuorong .cnです。セキュリティソフトをダウンロードする前には必ずドメインを再確認してください。たった1文字の違いが悪意のあるサイトにつながる可能性があります。
- Windows 除外設定を監視してください。自身が実行していないAdd-MpPreferenceコマンドは、侵害の強い兆候です。除外設定を定期的に監査してください。
- 永続性アーティファクトの探索スケジュールされたタスクまたはジョブ「Batteries」(アーティファクトとして観測された)の検索エンドポイント
C:\Windows\Tasks\Batteries.job),%APPDATA%\trvePath\ディレクトリ、およびレジストリキーHKCU\SOFTWARE\IpDates_info. - ファイアウォールで161.248.87.250へのアウトバウンド接続をブロックし、Winos4.0 C2シグネチャ(ET SID 2052875、2059975、および2052262)に対するIDSルールを展開する。
- プロセスの異常を監視する。
Rundll32.exe正当なDLL引数がない場合、および正規のWaves Audioインストール環境外で実行されるWavesSvc64.exeは、高い信頼性を持つ指標である。
Malwarebytes 、ValleyRATの既知の亜種および関連インフラストラクチャをMalwarebytes ブロックします。
妥協の指標(IOCs)
インフラストラクチャー
- 偽サイト:
huoronga[.]comhuorongcn[.]comhuorongh[.]comhuorongpc[.]comhuorongs[.]com
- ドメインをリダイレクト:
hndqiuebgibuiwqdhr[.]cyou - ペイロードホスト:
pub-b7ce0512b9744e2db68f993e355a03f9.r2[.]dev - C2 IP:
161.248.87[.]250(TCP 443、カスタムバイナリプロトコル) - 符号化されたC2ドメイン:
yandibaiji0203[.]com
ファイルハッシュ(SHA-256)
72889737c11c36e3ecd77bf6023ec6f2e31aecbc441d0bdf312c5762d073b1f4(NSIS インストーラー)db8cbf938da72be4d1a774836b2b5eb107c6b54defe0ae631ddc43de0bda8a7e(WavesSvc64.exe)d0ac4eb544bc848c6eed4ef4617b13f9ef259054fe9e35d9df02267d5a1c26b2(DuiLib_u.dll)07aaaa2d3f2e52849906ec0073b61e451e0025ef2523dafbd6ae85ddfa587b4d(WinosStager DLL #1)66e324ea04c4abbad6db4f638b07e2e560613e481ff588e0148e33e23a5052a9(WinosStager DLL #2)47df12b0b01ddca9eb116127bf84f63eb31e80cec33e4e6042dff1447de8f45f(WinosStager DLL #3)
ホストベースの指標
- スケジュールされたタスク名
BatteriesatC:\Windows\Tasks\Batteries.job - 永続化ディレクトリ:
%APPDATA%\trvePath\ - レジストリキー:
HKCU\SOFTWARE\IpDates_info - レジストリキー:
HKCU\Console\0\451b464b7a6c2ced348c1866b59c362e - ログファイル:
C:\ProgramData\DisplaySessionContainers.log - プロセス:
WavesSvc64.exe,rundll32.exe(DLL引数なし)
MITRE ATT&CK
T1189— ドライブバイ攻撃(初期アクセス)T1059.001— PowerShell (実行)T1053.005— スケジュールされたタスク(永続性)T1562.001— 防御能力の低下:ツールの無効化または変更(防御回避)T1574.002— DLLサイドローディング(防御回避)T1027— 難読化されたファイルまたは情報(防御回避)T1218.011— Rundll32 (防御回避)T1555— パスワードストアからの認証情報(認証情報アクセス)T1082— システム情報検出 (検出)T1057— プロセス発見(ディスカバリー)T1056.001— キーロギング(収集)T1071— アプリケーション層プロトコル(コマンド・アンド・コントロール)T1070.004— 痕跡消去:ファイル削除(防御回避)
私たちは単に詐欺を報告するだけでなく、詐欺の発見を支援します。
サイバーセキュリティリスクは見出し以上の広がりを見せてはなりません。怪しいと感じたら、Malwarebytes Guardで詐欺かどうか確認しましょう。スクリーンショットを送信、不審な内容を貼り付け、またはリンク・テキスト・電話番号を共有すれば、詐欺か正当かを判断します。すべてのMalwarebytes Premium 、 AndroidMalwarebytes 利用可能です。
