{
	"id": "4e80a36e-7dfe-440f-8564-3b6a2fe74db3",
	"created_at": "2026-04-06T00:17:38.48366Z",
	"updated_at": "2026-04-10T03:30:11.95611Z",
	"deleted_at": null,
	"sha1_hash": "181fb2d1381b100f49491f63c7f79bdbf7fc57ab",
	"title": "正規サービスを悪用した攻撃グループAPT-C-60による攻撃 - JPCERT/CC Eyes",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1408235,
	"plain_text": "正規サービスを悪用した攻撃グループAPT-C-60による攻撃 -\r\nJPCERT/CC Eyes\r\nBy JPCERT/CC\r\nPublished: 2024-11-25 · Archived: 2026-04-05 15:17:50 UTC\r\nJPCERT/CCでは、2024年8月ごろに攻撃グループAPT-C-60によるものとみられる国内の組織に対する攻\r\n撃を確認しました。 この攻撃は、入社希望者を装ったメールを組織の採用担当窓口に送信し、マルウ\r\nェアに感染させるものでした。 本記事では、以下の項目に分けて攻撃手法について解説します。\r\nマルウェア感染までの流れ\r\nダウンローダーの分析\r\nバックドアの分析\r\n同種のマルウェアを使用したキャンペーン\r\nマルウェア感染までの流れ\r\n図1は、今回の初期侵害の概要です。\r\n図1：初期侵害の流れ\r\n本攻撃は、標的型攻撃メールが起点となり、メールに記載されているGoogle Driveのリンクからファイ\r\nルをダウンロードさせる形となっていました。 Google Driveのリンクにアクセスすると、マルウェアが\r\n含まれたVHDXファイルがダウンロードされます。 VHDXファイルは、仮想ディスクに用いられるフ\r\nhttps://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html\r\nPage 1 of 11\n\nァイル形式で、マウントすることで内部に含まれたファイルを確認することができます。 本攻撃で使\r\n用されたVHDXファイルには、図2のようにLNKファイルやおとり文書が含まれていました。\r\n図2：VHDXファイルの内容\r\nLNKファイルであるSelf-Introduction.lnkは、IPML.txtを正規実行ファイル git.exeを用いて実行します\r\n（図3）。\r\n図3：Self-Introduction.lnkの内容\r\nまた、IPML.txtはおとり文書の開封とダウンローダーであるSecureBootUEFI.datの作成と永続化を行い\r\nます（図4）。 永続化は、COMインタフェースID F82B4EF1-93A9-4DDE-8015-F7950A1A6E31に\r\nSecureBootUEFI.datのパスを登録するCOMハイジャッキングを通して実行されます。\r\n図4：IPML.txtの内容\r\nダウンローダーの分析\r\n図5は、ダウンローダーの動作の概要です。\r\nhttps://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html\r\nPage 2 of 11\n\n図5：ダウンローダーの動作の概要\r\nSecureBootUEFI.datは、正規サービスであるBitbucketとStatCounterにアクセスします。 最初にアクセス\r\nするStatCounterは、攻撃者による感染端末の確認に使用され、攻撃者は感染端末の確認後、Bitbucketに\r\nダウンローダーをアップロードしています。 感染端末はStatCounterへ、図6のように感染端末固有の情\r\n報をリファラーに記述しているため、攻撃者はこの情報をもとに各感染端末を認識していると考えら\r\nれます。 リファラーには、コンピューター名とホームディレクトリ、コンピューター名とユーザー名\r\nを結合した文字列から英字以外を削除しXOR 3でエンコードした文字列が含まれます。 その後、\r\nSecureBootUEFI.datは、リファラーに含めたエンコード文字列をURLパスに含めてBitbucketにアクセス\r\nし、Service.datをダウンロード、XORキー g73qrc4dwx8jt9qmhi4sでデコード後、\r\n%Userprofile%\\AppData\\Local\\Microsoft\\Windows\\Shell\\Service.datへ保存し、実行します。\r\n図6：SecureBootUEFI.datの通信の流れ\r\n次に、Service.datはSecureBootUEFI.datとは異なるBitbucketリポジトリーから二つの検体をダウンロード\r\nします。 ダウンロードした検体はそれぞれcbmp.txtとicon.txtであり、それぞれcn.datとsp.datとし\r\nて%userprofile%\\appdata\\local\\Microsoft\\windows\\fontsにBase64とXORキー\r\nAadDDRTaSPtyAG57er#$ad!lDKTOPLTEL78pEを用いてデコードし、保存します。 その後、図7のよ\r\nうにCOMインタフェースID 7849596a-48ea-486e-8937-a2a3009f31a9を用いたCOMハイジャッキングを通\r\nして、cn.datを永続化します。\r\n図7：Service.datの永続化\r\nhttps://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html\r\nPage 3 of 11\n\n最後に、cn.datはsp.datを実行します。\r\nバックドアの分析\r\n今回使用されたバックドアは、ESETによりSpyGraceSpyGlaceと呼称されています。[1] バックドアに含\r\nまれるコンフィグには、バージョン情報の記載があり、今回確認した検体はv3.1.6と記述されていまし\r\nた。 加えて、SpyGraceSpyGlace v3.0はThreatBook CTIにより報告されており[2]、コマンドの種類やRC4\r\nキーやAESキー等の要素が今回確認した検体と一致していることを確認しています。 バックドアの初\r\n期化フェーズでは、以下の内容が実行されます。\r\nコンフィグの初期化\r\nMutexの作成（905QD4656:H）\r\nネットワーク疎通確認（api.ipfy.org）\r\n%appdata%\\Microsoft\\Vault\\UserProfileRoaming配下の.exe .dat .db .extファイル実行\r\nまた、初期化フェーズの一部の処理は、CRTのinitterm関数を用いて実行され、DllMain関数が実行され\r\nる前に実行されていました。\r\nhttps://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html\r\nPage 4 of 11\n\n図8：initterm関数を用いたコンフィグ初期化\r\nバックドアのコマンドとC2のURLはAppendix Aに記載しています。\r\n同種のマルウェアを使用したキャンペーン\r\n2024年の8月から9月にかけて、セキュリティベンダーなどから、今回確認した検体と同種のマルウェ\r\nアについてのレポートが公開されています。[1] [3] いずれのキャンペーンも正規サービスである\r\nBitbucketやStatCounterの悪用やCOMハイジャッキングによる永続化など共通した特徴を持っていま\r\nす。 また、本攻撃で使用されたVHDXファイルのゴミ箱フォルダーに存在したおとり文書から、日\r\n本・韓国・中国を含む東アジアの国で同様の攻撃が行われた可能性があり、他のレポートで標的とな\r\nった国々と一致します。\r\nhttps://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html\r\nPage 5 of 11\n\n図9：ゴミ箱フォルダーに存在した他のおとり文書の例\r\nおわりに\r\n本攻撃は、BitbucketやStatCounter等の正規サービスを悪用していることや日本を含む東アジアが標的と\r\nされていることから注意が必要です。 今回紹介した攻撃で使用された検体および通信先は、Appendix\r\nにて確認することができます。\r\nhttps://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html\r\nPage 6 of 11\n\nインシデントレスポンスグループ 亀井 智矢\r\n2025年9月1日追記\r\nESET社が命名したバックドア名は、正式には「SpyGrace」ではなく「SpyGlace」となっておりまし\r\nた。 謹んで訂正いたします。\r\n参考情報\r\n[1] ESET Research: Spy group exploits WPS Office zero day; analysis uncovers a second vulnerability\r\nhttps://www.eset.com/int/about/newsroom/press-releases/research/eset-research-spy-group-exploits-wps-office-zero-day-analysis-uncovers-a-second-vulnerability/\r\n[2] ThreatBook CTI: Analysis of APT-C-60 Attack on South Korea https://threatbook.io/blog/Analysis-of-APT-C-60-Attack-on-South-Korea\r\n[3] 404 Advanced Threat Intelligence Team: 威胁情报 | DarkHotel APT 组织 Observer 木马攻击分析\r\nhttps://mp.weixin.qq.com/s/qsgzOg-0rZfXEn4Hfj9RLw\r\nAppendix A: バックドアのコマンドとC2のURL\r\n表1: コマンド\r\nコマンド 実行内容\r\ncd 指定されたディレクトリへの移動\r\nddir ディレクトリのファイル情報一覧\r\nddel ファイル・ディレクトリの削除\r\nld DLLの読み込みとGetProcAddressによる呼び出し\r\nattach DLLの読み込み\r\ndetach 指定したモジュールに対するStopThread呼び出し\r\nproclist プロセス一覧取得\r\nprocspawn プロセス起動\r\nprockill プロセス停止\r\ndiskinfo ディスク情報の取得\r\ndownload 暗号化されたファイルのダウンロード\r\ndownfree 暗号化されていないファイルのダウンロード\r\nscreenupload スクリーンショットのアップロード\r\nhttps://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html\r\nPage 7 of 11\n\nscreenauto スクリーンショットの自動送信\r\nupload ファイルアップロード\r\ncmd リモートシェル\r\n表2: C2 URL\r\nC2 URL\r\nPOST http://103.187.26.176/a78550e6101938c7f5e8bfb170db4db2/command.asp\r\nPOST http://103.187.26.176/a78550e6101938c7f5e8bfb170db4db2/update.asp\r\nPOST http://103.187.26.176/a78550e6101938c7f5e8bfb170db4db2/result.asp\r\nPOST http://103.187.26.176/a78550e6101938c7f5e8bfb170db4db2/server.asp\r\nGET http://103.187.26.176/a78550e6101938c7f5e8bfb170db4db2/listen.asp\r\nAppendix B: 通信先\r\n103.6.244.46\r\n103.187.26.176\r\nhttps://c.statcounter.com/12959680/0/f1596509/1/\r\nhttps://c.statcounter.com/13025547/0/0a557459/1/\r\nhttps://bitbucket.org/hawnbzsd/hawnbzsd/downloads\r\nhttps://bitbucket.org/hawnbzsd/hawnbzsd31/downloads\r\nhttps://bitbucket.org/ffg84883/3r23ruytgfdxz/raw/8ebddd79bb7ef1b9fcbc1651193b002bfef598fd/cbmp.txt\r\nhttps://bitbucket.org/ffg84883/3r23ruytgfdxz/raw/8ebddd79bb7ef1b9fcbc1651193b002bfef598fd/icon.txt\r\nhttps://bitbucket.org/ffg84883/3r23ruytgfdxz/raw/8ebddd79bb7ef1b9fcbc1651193b002bfef598fd/rapd.txt\r\nAppendix C: マルウェアのハッシュ値\r\nfd6c16a31f96e0fd65db5360a8b5c179a32e3b8e\r\n4508d0254431df5a59692d7427537df8a424dbba\r\n7e8aeba19d804b8f2e7bffa7c6e4916cf3dbee62\r\nc198971f84a74e972142c6203761b81f8f854d2c\r\n6cf281fc9795d5e94054cfe222994209779d0ba6\r\ncc9cd337b28752b8ba1f41f773a3eac1876d8233\r\n5ed4d42d0dcc929b7f1d29484b713b3b2dee88e3\r\n8abd64e0c4515d27fae4de74841e66cfc4371575\r\n3affa67bc7789fd349f8a6c9e28fa1f0c453651f\r\nfadd8a6c816bebe3924e0b4542549f55c5283db8\r\n4589b97225ba3e4a4f382540318fa8ce724132d5\r\n1e5920a6b79a93b1fa8daca32e13d1872da208ee\r\n783cd767b496577038edbe926d008166ebe1ba8c\r\nhttps://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html\r\nPage 8 of 11\n\n79e41b93b540f6747d0d2c3a22fd45ab0eac09ab\r\n65300576ba66f199fca182c7002cb6701106f91c\r\nd94448afd4841981b1b49ecf63db3b63cb208853\r\nb1e0abfdaa655cf29b44d5848fab253c43d5350a\r\n33dba9c156f6ceda40aefa059dea6ef19a767ab2\r\n5d3160f01920a6b11e3a23baec1ed9c6d8d37a68\r\n0830ef2fe7813ccf6821cad71a22e4384b4d02b4\r\nJPCERT/CC\r\n記事に関するご意見・ご質問は、お問い合わせフォームにご記入ください。\r\n関連記事\r\nReact2Shellを悪用する複数の攻撃アクターによる侵害事例\r\n攻撃グループAPT-C-60による攻撃のアップデート\r\nhttps://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html\r\nPage 9 of 11\n\nCobalt Strike Beaconの機能をクロスプラットフォームへと拡張するツール「CrossC2」を使った攻\r\n撃\r\nIvanti Connect Secureの脆弱性を起点とした侵害で確認されたマルウェア\r\nAPTアクターの分類“中毒” ―Lazarus のサブグループ分類に見るアトリビューションの実務的課\r\n題―\r\nhttps://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html\r\nPage 10 of 11\n\nSource: https://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html\r\nhttps://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html\r\nPage 11 of 11",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"ETDA"
	],
	"references": [
		"https://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html"
	],
	"report_names": [
		"APT-C-60.html"
	],
	"threat_actors": [
		{
			"id": "1dadf04e-d725-426f-9f6c-08c5be7da159",
			"created_at": "2022-10-25T15:50:23.624538Z",
			"updated_at": "2026-04-10T02:00:05.286895Z",
			"deleted_at": null,
			"main_name": "Darkhotel",
			"aliases": [
				"Darkhotel",
				"DUBNIUM",
				"Zigzag Hail"
			],
			"source_name": "MITRE:Darkhotel",
			"tools": null,
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "15b8d5d8-32cf-408b-91b1-5d6ac1de9805",
			"created_at": "2023-07-20T02:00:08.724751Z",
			"updated_at": "2026-04-10T02:00:03.341845Z",
			"deleted_at": null,
			"main_name": "APT-C-60",
			"aliases": [
				"APT-Q-12"
			],
			"source_name": "MISPGALAXY:APT-C-60",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "b13c19d6-247d-47ba-86ba-15a94accc179",
			"created_at": "2024-05-01T02:03:08.149923Z",
			"updated_at": "2026-04-10T02:00:03.763147Z",
			"deleted_at": null,
			"main_name": "TUNGSTEN BRIDGE",
			"aliases": [
				"APT-C-06 ",
				"ATK52 ",
				"CTG-1948 ",
				"DUBNIUM ",
				"DarkHotel ",
				"Fallout Team ",
				"Shadow Crane ",
				"Zigzag Hail "
			],
			"source_name": "Secureworks:TUNGSTEN BRIDGE",
			"tools": [
				"Nemim",
				"Tapaoux"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "2b4eec94-7672-4bee-acb2-b857d0d26d12",
			"created_at": "2023-01-06T13:46:38.272109Z",
			"updated_at": "2026-04-10T02:00:02.906089Z",
			"deleted_at": null,
			"main_name": "DarkHotel",
			"aliases": [
				"T-APT-02",
				"Nemim",
				"Nemin",
				"Shadow Crane",
				"G0012",
				"DUBNIUM",
				"Karba",
				"APT-C-06",
				"SIG25",
				"TUNGSTEN BRIDGE",
				"Zigzag Hail",
				"Fallout Team",
				"Luder",
				"Tapaoux",
				"ATK52"
			],
			"source_name": "MISPGALAXY:DarkHotel",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "c0cedde3-5a9b-430f-9b77-e6568307205e",
			"created_at": "2022-10-25T16:07:23.528994Z",
			"updated_at": "2026-04-10T02:00:04.642473Z",
			"deleted_at": null,
			"main_name": "DarkHotel",
			"aliases": [
				"APT-C-06",
				"ATK 52",
				"CTG-1948",
				"Dubnium",
				"Fallout Team",
				"G0012",
				"G0126",
				"Higaisa",
				"Luder",
				"Operation DarkHotel",
				"Operation Daybreak",
				"Operation Inexsmar",
				"Operation PowerFall",
				"Operation The Gh0st Remains the Same",
				"Purple Pygmy",
				"SIG25",
				"Shadow Crane",
				"T-APT-02",
				"TieOnJoe",
				"Tungsten Bridge",
				"Zigzag Hail"
			],
			"source_name": "ETDA:DarkHotel",
			"tools": [
				"Asruex",
				"DarkHotel",
				"DmaUp3.exe",
				"GreezeBackdoor",
				"Karba",
				"Nemain",
				"Nemim",
				"Ramsay",
				"Retro",
				"Tapaoux",
				"Trojan.Win32.Karba.e",
				"Virus.Win32.Pioneer.dx",
				"igfxext.exe",
				"msieckc.exe"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "ab47428c-7a8e-4ee8-9c8e-4e55c94d2854",
			"created_at": "2024-12-28T02:01:54.668462Z",
			"updated_at": "2026-04-10T02:00:04.564201Z",
			"deleted_at": null,
			"main_name": "APT-C-60",
			"aliases": [
				"APT-Q-12"
			],
			"source_name": "ETDA:APT-C-60",
			"tools": [
				"SpyGlace"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434658,
	"ts_updated_at": 1775791811,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/181fb2d1381b100f49491f63c7f79bdbf7fc57ab.pdf",
		"text": "https://archive.orkl.eu/181fb2d1381b100f49491f63c7f79bdbf7fc57ab.txt",
		"img": "https://archive.orkl.eu/181fb2d1381b100f49491f63c7f79bdbf7fc57ab.jpg"
	}
}