人気のある7-Zipアーカイブサイトのそっくりサイトが、トロイの木馬化されたインストーラーを配布しており、被害者のマシンを居住用プロキシノードに密かに変換している。この偽サイトは長い間、公然と存在していた。
「本当に気分が悪い」
あるPCビルダーが最近、間違ったウェブサイトから7-Zipをダウンロードしてしまったことに気づき、パニック状態でRedditのr/pcmasterraceコミュニティに助けを求めた。新しいPCの組み立てをYouTube 進めていた際、7zip[.]comから7-Zipをダウンロードするよう指示されていたが、正規のプロジェクトが7-zip.orgで独占的にホストされていることに気づいていなかったのだ。
Redditの投稿で、ユーザーはまずノートパソコンにファイルをインストールし、その後USB経由で新しく組み立てたデスクトップPCに転送したと説明した。32ビットと64ビットの互換性エラーが繰り返し発生したため、最終的にインストーラーの使用を断念し、Windows組み込み抽出ツールを利用することにした。約2週間後、Microsoft Defenderがシステム上で汎用的な検出「Trojan:Win32/Malgent!MSR」を警告した。
この事例は、一見些細なドメインの混同が、攻撃者が信頼できるソフトウェア配布業者を装うことに成功した場合、システムの長期間にわたる不正使用につながる可能性があることを示している。
正当なソフトウェアを装ったトロイの木馬化されたインストーラー
これは単なるランダムなサイトにホストされた悪意のあるダウンロードのケースではない。7zip[.]comの背後にいる運営者は、類似ドメインを通じてトロイの木馬化されたインストーラーを配布し、機能する7-Zipファイルマネージャーのコピーと共に隠されたマルウェアペイロードを配信した。
インストーラーは、Jozeal Network Technology Co., Limitedに発行された(現在は失効済みの)証明書を使用してAuthenticode署名されており、表面的な正当性を装っている。インストール時には、改変されたビルドの 7zfm.exe 展開され、期待通りに機能することでユーザーの疑念を軽減する。並行して、以下の3つの追加コンポーネントが静かにドロップされる:
- Uphero.exe—サービスマネージャーおよび更新プログラムローダー
- hero.exe—主要プロキシペイロード(Goコンパイル済み)
- hero.dll—サポートライブラリ
すべてのコンポーネントは書き込まれます C:\Windows\SysWOW64\hero\手動で検査される可能性が低い、特権ディレクトリ。
独立した更新チャネルも観察された update.7zip[.]com/version/win-service/1.0.0.2/Uphero.exe.zipこれは、マルウェアのペイロードがインストーラー本体とは独立して更新可能であることを示している。
信頼された流通経路の悪用
このキャンペーンの懸念材料の一つは、第三者への信頼に依存している点である。Redditの事例は、YouTube 意図せずマルウェアの拡散経路となる可能性を浮き彫りにしている。具体的には、クリエイターが正規ドメインではなく誤って7zip.comを参照しているケースが挙げられる。
これは、攻撃者が一見無害なコンテンツエコシステム内の小さな欠陥を悪用し、被害者を大規模に悪意のあるインフラへと誘導する方法を示している。
実行フロー:インストーラーから永続プロキシサービスへ
行動分析は、迅速かつ系統的な感染連鎖を示している:
1. ファイル展開—ペイロードはSysWOW64にインストールされ、管理者権限を必要とし、深いシステム統合の意図を示している。
2.Windows による永続化—両方 Uphero.exe そして hero.exe システム特権で実行される自動起動Windows として登録され、起動のたびに確実に実行される。
3. ファイアウォールルールの操作—マルウェアが呼び出す netsh 既存のルールを削除し、そのバイナリに対する新規の受信および送信許可ルールを作成します。これによりネットワークトラフィックへの干渉を軽減し、シームレスなペイロード更新をサポートすることを目的としています。
4. ホストプロファイリング—マルウェアはWMIおよびWindows を使用し、ハードウェア識別子、メモリサイズ、CPU数、ディスク属性、ネットワーク構成などのシステム特性を列挙する。マルウェアは専用レポートエンドポイント経由でiplogger[.]orgと通信し、プロキシインフラストラクチャの一環としてデバイスまたはネットワークのメタデータを収集・報告していることを示唆している。
機能目標:住宅用プロキシの収益化
初期の指標はバックドア型の機能を示唆していたが、詳細な分析により、このマルウェアの主機能はプロキシウェアであることが判明した。感染したホストは住宅用プロキシノードとして登録され、第三者が被害者のIPアドレスを経由してトラフィックをルーティングすることを可能にする。
について hero.exe コンポーネントは「smshero」をテーマとしたローテーションするコマンドアンドコントロールドメインから設定データを取得し、その後1000や1002などの非標準ポートでアウトバウンドプロキシ接続を確立する。トラフィック分析により、軽量なXOR暗号化プロトコル(鍵 0x70制御メッセージを隠蔽するために使用される。
このインフラは、既知の住宅用プロキシサービスと同様であり、実際の消費者IPアドレスへのアクセスが、詐欺、スクレイピング、広告不正利用、または匿名性の洗浄目的で販売されている。
複数の偽インストーラー間で共有されるツール
7-Zipを装った偽装は、より広範な作戦の一部であるようだ。関連するバイナリは以下のような名前で特定されている: upHola.exeアップティックトック、アップワッツアップ、そしてアップワイヤーは、いずれも同一の戦術、技術、手順を共有している:
- SysWOW64への展開
- Windows 永続性
- ファイアウォールルールの操作による
netsh - 暗号化されたHTTPS C2通信
VPN プロキシブランドを参照する埋め込み文字列は、複数の配布フロントをサポートする統一されたバックエンドの存在を示唆している。
ローテーションするインフラストラクチャと暗号化されたトランスポート
メモリ解析により、ハードコードされた多数のコマンドアンドコントロールドメインが発見された。 hero そして smshero 命名規則。サンドボックス実行中のアクティブな解決では、トラフィックがCloudflareインフラストラクチャを経由してルーティングされ、TLSで暗号化されたHTTPSセッションが確認された。
このマルウェアはGoogleのリゾルバーを介したDNS-over-HTTPSも使用しており、従来のDNS監視の可視性を低下させるとともに、ネットワークベースの検知を複雑化させる。
回避および分析対策機能
マルウェアは複数のサンドボックスと分析回避策を組み込んでいる:
- VMware、VirtualBox、QEMU、Parallelsを対象とした仮想マシン検出
- デバッグ対策チェックと不審なデバッガーDLLの読み込み
- ランタイムAPI解決とPEB検査
- プロセスの列挙、レジストリの調査、環境の検査
暗号化サポートは広範で、AES、RC4、カメリア、チャスキー、XORエンコーディング、Base64などを含む。これにより、暗号化された設定処理と通信保護が示唆される。
防御的ガイダンス
7zip.comのインストーラーを実行したシステムはすべて侵害されたと見なすべきです。このマルウェアはSYSTEMレベルの永続化を確立しファイアウォールルールを変更しますが、信頼できるセキュリティソフトウェアは悪意のあるコンポーネントを効果的に検出・除去できます。Malwarebytes 本脅威の既知の亜種を完全に駆除し、その永続化メカニズムを解除Malwarebytes 高リスク環境や頻繁に使用されるシステムでは、絶対的な安全性を確保するためOSの完全再インストールを選択するユーザーもいますが、全てのケースで厳密に必要とされるわけではありません。
ユーザーと擁護者は次のことを行うべきである:
- ソフトウェアソースを確認し、公式プロジェクトドメインをブックマークする
- 予期しないコード署名識別情報には懐疑的に対処する
- 不正なWindows サービスおよびファイアウォールルールの変更を監視する
- ネットワーク境界で既知のC2ドメインとプロキシエンドポイントをブロックする
研究者の帰属とコミュニティ分析
この調査は、表面的な指標を超えて深く掘り下げ、このマルウェアファミリーの真の目的を特定した独立系セキュリティ研究者たちの尽力なしには実現しなかった。
- ルーク・アチャは、Uphero/heroマルウェアが従来のバックドアではなく、住宅用プロキシウェアとして機能することを示す初の包括的分析を提供した。彼の研究はプロキシプロトコル、トラフィックパターン、収益化モデルを文書化し、このキャンペーンを彼がupStage Proxyと名付けた広範なオペレーションと結びつけた。ルークの詳細な分析は彼のブログで公開されている。
- s1dhyはこの分析をさらに発展させ、カスタムXORベース通信プロトコルの逆解析と復号化を実施し、パケットキャプチャを通じてプロキシ動作を検証し、被害者の地理的位置にまたがる複数のプロキシエンドポイントを相互に関連付けました。技術的な考察と発見 X Twitter)上で公開されました。
- アンドルー・ダニス氏は、追加のインフラ分析とクラスタリングに貢献し、偽の 7-Zip インストーラを、他のソフトウェアブランドを悪用する関連プロキシウェアキャンペーンと結びつける手助けをしました。
RaichuLabの研究者による追加の技術的検証と動的解析がQiitaで、WizSafe SecurityによるものがIIJで公開されました。
彼らの共同研究は、脆弱性悪用ではなく信頼と誤った方向付けに依存する長期にわたる悪用キャンペーンを暴く上で、オープンでコミュニティ主導の研究がいかに重要かを浮き彫りにしている。
結びの言葉
このキャンペーンは、ブランドなりすましと技術的に高度なマルウェアを組み合わせることで、長期間にわたり検知されずに活動できることを実証している。ソフトウェアの脆弱性を悪用するのではなくユーザーの信頼を悪用することで、攻撃者は従来のセキュリティ前提の多くを回避し、日常的なユーティリティのダウンロードを長期にわたる収益化インフラへと変貌させる。
Malwarebytes 、このプロキシウェアファミリーの既知の亜種および関連インフラストラクチャをMalwarebytes 。
妥協の指標(IOCs)
ファイルパス
C:\Windows\SysWOW64\hero\Uphero.exeC:\Windows\SysWOW64\hero\hero.exeC:\Windows\SysWOW64\hero\hero.dll
ファイルハッシュ(SHA-256)
e7291095de78484039fdc82106d191bf41b7469811c4e31b4228227911d25027(Uphero.exe)b7a7013b951c3cea178ece3363e3dd06626b9b98ee27ebfd7c161d0bbcfbd894(hero.exe)3544ffefb2a38bf4faf6181aa4374f4c186d3c2a7b9b059244b65dce8d5688d9(hero.dll)
ネットワーク指標
ドメイン:
soc.hero-sms[.]coneo.herosms[.]coflux.smshero[.]conova.smshero[.]aiapex.herosms[.]aispark.herosms[.]iozest.hero-sms[.]aiprime.herosms[.]vipvivid.smshero[.]vipmint.smshero[.]compulse.herosms[.]ccglide.smshero[.]ccsvc.ha-teams.office[.]comiplogger[.]org
観測されたIPアドレス(Cloudflare経由):
104.21.57.71172.67.160.241
ホストベースの指標
- イメージパスが以下を指すWindows
C:\Windows\SysWOW64\hero\ - ファイアウォールルール「Uphero」または「hero」(インバウンドおよびアウトバウンド)
- ミューテックス:
Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7
脅威を報告するだけでなく、取り除く
サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐMalwarebytes ダウンロードして、デバイスに脅威を持ち込まないようにしましょう。
