{ "id": "41a162e1-79cc-4b7a-928b-d24b20cc47e0", "created_at": "2026-04-06T00:16:22.30311Z", "updated_at": "2026-04-10T13:11:27.900245Z", "deleted_at": null, "sha1_hash": "26df05a722eabd67962f812bccca505b171c175e", "title": "SteelCloverが使用する新たなマルウェアPowerHarborについて", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 829676, "plain_text": "SteelCloverが使用する新たなマルウェアPowerHarborについて\r\nBy NTTセキュリティ・ジャパン株式会社\r\nPublished: 2023-06-12 · Archived: 2026-04-05 19:23:40 UTC\r\nBy Rintaro Koike\r\nPublished June 12, 2023 | Japanese\r\n本記事は SOC アナリスト 小池 倫太郎 が執筆したものです。\r\nはじめに\r\n2023年2月にSteelCloverの攻撃が活発化していることを報告しました[1]が、2023年5月末から若干変則的\r\nな攻撃オペレーションが観測されており、それと連動するように2023年6月初頭から新たなマルウェア\r\nを観測し始めています。\r\n今回新たにSteelCloverが使い始めたマルウェアを、私達はPowerHarborと呼んでいます。PowerShell製の\r\nモジュール型マルウェアであり、私達はブラウザなどからクレデンシャルを窃取するモジュールを観\r\n測しています。\r\n私達はPowerHarborについてリサーチを行っていますが、本稿執筆時点では今回のSteelCloverの攻撃以\r\n外では痕跡を発見することができず、このマルウェアがSteelCloverオリジナルのものなのか、あるいは\r\n販売されている新種のマルウェアなのか、判断することができませんでした。いずれの場合にして\r\nも、PowerHarborに関する解析レポートは公開されていないと判断し、詳細な情報を共有するために本\r\n稿を公開します。\r\nダウンローダ\r\nまず、SteelCloverはMSIXファイルのPSF(Package Support Framework)を使用して[2]、PowerHarborの\r\nダウンローダを実行させます。\r\nダウンローダはWin32_ComputerSystemProductクラスのUUIDを取得し、C\u0026Cサーバへ送信します。ダウ\r\nンローダで行われる送受信処理は全てハードコードされたXORキーを用いてエンコードされます。\r\nその後、何らかの判定(おそらく同一のUUIDに対して複数回攻撃を行わないためのチェック)が行わ\r\nれ、攻撃対象であると判断された場合はメインモジュールがダウンロード・実行されます。\r\nhttps://insight-jp.nttsecurity.com/post/102ignh/steelcloverpowerharbor\r\nPage 1 of 6\n\nメインモジュール\r\nメインモジュールはC\u0026Cサーバと定常的に通信を行い、C\u0026Cサーバから送られてきた追加モジュール\r\nを実行・削除します。このとき、C\u0026Cサーバとの通信は、ハードコードされた鍵データを使ってRSA\r\n暗号で暗号化してやり取りされます。\r\nまた、メインモジュールにはVM検知機能が存在します。ビデオコントローラやディスプレイ、ディス\r\nクなどの様々な情報を使って、VM上で実行されていないかチェックを行います。\r\nhttps://insight-jp.nttsecurity.com/post/102ignh/steelcloverpowerharbor\r\nPage 2 of 6\n\nStealDataモジュール\r\nStealDataモジュールは、Invoke-Stealer関数を中軸とし、システム情報やブラウザに保存されたクレデン\r\nシャル、仮想通貨のウォレット情報、TelegramやFileZilla、WinSCPなど様々なアプリケーションのクレ\r\nデンシャルを窃取します。\r\nhttps://insight-jp.nttsecurity.com/post/102ignh/steelcloverpowerharbor\r\nPage 3 of 6\n\n窃取されたデータは、StealDataモジュールを受信したときに同梱されている公開鍵を使ってRSA暗号で\r\n暗号化され、C\u0026Cサーバへ送信されます。そのため、トラフィックデータからはデータを復元するこ\r\nとはできず、何が窃取されたのか知ることはできません。\r\nSchedulerモジュール\r\nSchedulerモジュールはPowerHarborを永続化するためのモジュールです。PowerHarborのダウンローダを\r\n$env:localappdata\\WindowsPowerShell\\ あるいは $env:userprofile\\Documents\\WindowsPowerShell の配下に\r\nMicrosoft.PowerShell_profile.ps1 というファイル名で書き込み、\r\nHKCU:\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\User Shell Folders に新たなプロパティを\r\n追加し、タスクスケジュールに登録するなど、永続化を試みます。\r\nhttps://insight-jp.nttsecurity.com/post/102ignh/steelcloverpowerharbor\r\nPage 4 of 6\n\nGetBrowsersモジュール\r\nGetBrowsersモジュールはインストールされているブラウザの情報を収集するモジュールです。これ単\r\n体では悪性挙動とは言えませんが、被害ユーザの統計情報を得る目的があると考えられ、今後の攻撃\r\nのための準備に関わるかもしれません。\r\nおわりに\r\n本稿では、SteelCloverが新たに使い始めたPowerHarborというマルウェアについて紹介しました。\r\nPowerHarborはPowerShell製のモジュール型マルウェアであり、ブラウザなどのクレデンシャルを窃取\r\nするモジュールが実装されています。PowerHarborはモジュール型のため、今後情報窃取以外のモジュ\r\nールが実装されることも考えられるため、今後増々注意が必要です。\r\nIoC\r\n190.14.37.245\r\nhttps://insight-jp.nttsecurity.com/post/102ignh/steelcloverpowerharbor\r\nPage 5 of 6\n\n参考文献\r\n[1] NTTセキュリティ・ジャパン, \"SteelCloverによるGoogle広告経由でマルウェアを配布する攻撃の活\r\n発化について\", https://techblog.security.ntt/102i7af\r\n[2] Twitter, \"nao_sec\", https://twitter.com/nao_sec/status/1630435399905705986\r\nSource: https://insight-jp.nttsecurity.com/post/102ignh/steelcloverpowerharbor\r\nhttps://insight-jp.nttsecurity.com/post/102ignh/steelcloverpowerharbor\r\nPage 6 of 6", "extraction_quality": 1, "language": "JA", "sources": [ "Malpedia" ], "origins": [ "web" ], "references": [ "https://insight-jp.nttsecurity.com/post/102ignh/steelcloverpowerharbor" ], "report_names": [ "steelcloverpowerharbor" ], "threat_actors": [], "ts_created_at": 1775434582, "ts_updated_at": 1775826687, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/26df05a722eabd67962f812bccca505b171c175e.pdf", "text": "https://archive.orkl.eu/26df05a722eabd67962f812bccca505b171c175e.txt", "img": "https://archive.orkl.eu/26df05a722eabd67962f812bccca505b171c175e.jpg" } }