{
	"id": "06228da6-4fe4-4398-9ff7-9c62304309fa",
	"created_at": "2026-04-06T00:22:24.906167Z",
	"updated_at": "2026-04-10T03:27:55.90548Z",
	"deleted_at": null,
	"sha1_hash": "37ac2f98ed4a45998773860c1820802bdae19725",
	"title": "日本を狙う新たな攻撃キャンペーン Campo の全体像 - Mal-Eats",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2064117,
	"plain_text": "日本を狙う新たな攻撃キャンペーン Campo の全体像 - Mal-Eats\r\nBy @mal_eats\r\nPublished: 2021-05-10 · Archived: 2026-04-05 18:03:56 UTC\r\n最終更新日:2021年5月11日\r\n2021年3月頃より、campo/Openfieldと呼ばれるインフラを利用した日本への攻撃が複数回確認されてい\r\nます。この攻撃キャンペーンは、感染組織によっては後続のマルウェアが配信される可能性があり、\r\nその中には最終的にランサムウェアが使用されるケースが海外で観測されています。\r\n我々は、現在この攻撃キャンペーンを継続調査しており、認識している限り、少なくとも2020年10月\r\n頃には観測され始めています。今後も攻撃者による継続的な活動は予測され、最悪の場合、ランサム\r\nウェアによる暗号化をはじめとした様々な被害に発展してしまう可能性があることを危惧していま\r\nす。そこで、このような脅威に備えて、現時点で判明している日本向けキャンペーンの特徴とマルウ\r\nェアの実行痕跡の確認方法等について本稿で共有します。\r\n目次\r\n1 更新履歴\r\n2 日本向けのキャンペーンの報告状況\r\n3 攻撃の全体像\r\n4 メールの特徴\r\n5 リンク先のサーバの特徴\r\n6 文書ファイルの特徴\r\n7 Campo Loader マルウェアの特徴\r\n8 Openfieldの特徴\r\n9 DFDownloader マルウェアの特徴\r\n10 その後のペイロードの考察\r\n11 他のキャンペーンとの関連性\r\n12 実行痕跡の確認方法\r\n13 感染の判断が難しい場合・専門企業による調査が必要な場合\r\n14 謝辞\r\n15 IoC（5月10日時点）\r\n更新履歴\r\n本稿の更新による変更点は次の通りです。\r\n日付 内容\r\n2021年5月10日 本稿を公開しました。\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 1 of 28\n\n2021年5月11日 一部誤字を修正しました。\r\n日本向けのキャンペーンの報告状況\r\n日本におけるメールの報告は、SNS上で行われています。以下に報告を時系列順に示します。\r\n2020年10月14日\r\nhttps://twitter.com/bomccss/status/1316163808319041536\r\n2021年3月10日\r\nhttps://twitter.com/bomccss/status/1369612781209591813\r\n2021年3月24日\r\nhttps://twitter.com/bomccss/status/1374526482890944515\r\n2021年3月31日\r\nhttps://twitter.com/bomccss/status/1377280535710494729\r\n2021年4月6日\r\nhttps://twitter.com/bomccss/status/1379240664362143744\r\n2021年4月7日\r\nhttps://twitter.com/bomccss/status/1379602541495738371\r\n2021年4月8日\r\nhttps://twitter.com/bomccss/status/1379970130642235392\r\n2021年4月9日\r\nhttps://twitter.com/bomccss/status/1380327966765314050\r\n攻撃の全体像\r\n攻撃の全体像は、図1の通りです。攻撃は日本語メールの接到から始まります。メール本文にはURLリ\r\nンクとパスワードが記載されており、ユーザがURLリンクにアクセスするとパスワード付きZIPファイ\r\nルをダウンロードすることができます。このZIPファイルを展開し、文書ファイルを開いてコンテンツ\r\nを有効にすると、Campo Loaderと呼ばれるダウンローダがドロップ・実行され、通信が発生します。\r\nそして、別のダウンローダであるDFDownloaderに感染し、サーバと通信することで追加のペイロード\r\nをダウンロード・実行できる状態となります。\r\n図1 攻撃の全体像\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 2 of 28\n\nなお、URLリンクの通信先とCampo Loaderの通信先は「BlackTDS」と呼ばれるアンチボットサービス\r\nを利用している可能性が高く、通信時にリサーチャの調査活動が妨害され正規サイトへリダイレクト\r\nされることがあります。このサービスの動作の詳細は後述します。\r\n今回の日本向け攻撃キャンペーンで使用されているDFDownloaderは、追加のマルウェアをダウンロー\r\nドして実行する機能があるものの、現時点で我々は後続のペイロードの観測に至っていません。\r\nDFDownloaderに関しては、海外の文献においても報告されていない状況です。このため、\r\nDFDownloaderを経由して最終的に感染するマルウェアは不明です。\r\nその一方で、海外ではCampo Loaderから下記のマルウェアに感染する類似事例が報告されています。\r\nTrickbot\r\nUrsnif\r\nBazarLoader→CobaltStrike, AnchorDNS\r\nPhobos Ransomware\r\nまた、同攻撃者グループによると思われる日本での過去事例では、Zloaderに感染させようとする事例\r\nも確認されています。\r\nこれらの内容に関しては、我々の考察を含め、本稿の最後に記載しています。\r\nメールの特徴\r\nメールの例を下図に示します。日本向けの攻撃キャンペーンでは、図2の通りメール本文に日本語が使\r\n用されており、実在する企業の担当者を騙り、請求書の形式でリンク先のパスワード付きZIPファイル\r\nのダウンロードに誘導します。\r\n送信元は多数の企業を騙っており、正規の企業メールアドレスとは異なります。メール本文に記載さ\r\nれているリンク先ファイルのパスワードは、現在観測している限り、すべて同一であることを確認し\r\nています。さらに、メールヘッダの情報から攻撃者はオープンソースのWebメールである「Roundcube\r\nWebmail」を使用して配信していると推定しています。\r\n図2 日本向け攻撃メールの例\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 3 of 28\n\nリンク先のサーバの特徴\r\nリンク先サーバへのアクセスは、HTTPSで行われることが確認されています。また、接続先ドメイン\r\n名に紐づいているIPアドレスが共通であることが多いという特徴があります。\r\n調査の結果、このサーバは「BlackTDS」と呼ばれるアンチボットサービスを利用している可能性があ\r\nることがわかりました。このサービスは、公式サイトによると”トラフィックのクリーニングとボット\r\nの保護に最適なソリューション”（図3）とされていますが、実際はDrive-by as a serviceとして攻撃者が\r\n悪用しているとProofpoint社によって報告されています[1]。\r\n図3 BlackTDS\r\n[1]「Drive-by as a service: BlackTDS」, Proofpoint, 2018/3/13\r\nhttps://www.proofpoint.com/us/threat-insight/post/drive-service-blacktds\r\n今回の日本向けキャンペーンでは、このサービスが提供すると言われている以下のフィルタリングが\r\n利用されている可能性があります。\r\nIPv6に完全対応したIPアドレスによるフィルタリング\r\nISPによるフィルタリング\r\nリファラーによるフィルタリング\r\nハードウェアIDによるフィルタリング、\r\n44万以上のIPアンチウイルス、モデレーター、検索エンジン、チェッカーボットが登録されてい\r\nるアンチボットデータベースによるフィルタリング\r\nそのため、BlackTDSによりセキュリティリサーチャやサンドボックスによるファイルの取得が難しく\r\n調査の難易度が高くなってしまいます。\r\n文書ファイルの特徴\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 4 of 28\n\n主に日本向けのキャンペーンでは、メールのリンク先からダウンロードされたパスワード付きZIPファ\r\nイルを展開し文書ファイルを開くと、図4のように日本語が使用された画像が表示されます。\r\n図4 日本向けの攻撃で確認された文書ファイルの例\r\n表示される画像は、他の攻撃においても共通のものが使用されることもあるため、見た目だけで本攻\r\n撃に関連するものであるかを判断することは困難な場合があります。また、画像が変更される場合も\r\nあるため、図4のデザインに限らない点にご注意ください。\r\n以降では、動作の概要と、執筆時点（2021年4月）における最新の文書ファイルの動作について解説し\r\nます。\r\n動作の概要\r\nOffice製品がデフォルト設定の場合、ユーザが文書ファイルを開いて「コンテンツの有効化」をクリッ\r\nクすると、Excel 4.0 マクロ（以降、マクロと記載）が実行され、文書ファイルに埋め込まれている文\r\n字列がファイルとしてドロップされます。\r\n一連の攻撃で確認している文書ファイルでは、マクロが設定されているシートが非表示状態となって\r\nおり、シート内にはマクロを実行するために必要な文字列が細分化されて記述されています。\r\nまた、文書ファイルのブックに「Auto_Open」が設定されていることで、文書ファイルを開くと悪意あ\r\nるマクロが自動的に実行されます。自動的に実行されるマクロの一部を図5、6に示します。\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 5 of 28\n\n図5 2021年4月9日に観測した文書ファイルから実行される一部のマクロ関数\r\n図6 2021年4月9日に観測した文書ファイルから実行される一部のマクロ関数\r\nSAVE.AS関数で保存された文字列はcertutil.exeを用いてデコードされ、別のファイル名で保存されま\r\nす。その後、CALL関数などでrundll32.exeを用いて、デコードされたCampo Loaderが実行されます（図\r\n7）。\r\n図7 2021年4月9日に観測した文書ファイルから実行されるマクロ関数\r\nこれら一連の挙動は、マクロに加えWindowsに標準で搭載されているモジュール群（DLL）の関数を直\r\n接呼び出すことで実装されています。\r\n4月9日の攻撃で使用された文書ファイル\r\n以下に4月9日の攻撃で確認された文書ファイルからCampo Loaderが実行されるまでのフローを示しま\r\nす（図8、9）。\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 6 of 28\n\n図8 文書ファイルを開いた際のフロー\r\n図9 文書ファイルを開いた際のプロセスツリー\r\n動作の流れは以下の通りです。\r\n1. 文書ファイルを開きコンテンツが有効化されると、悪意あるマクロが動作します。\r\n2. 文書ファイルのシート内に埋め込まれている文字列がC:\\Users\\Public\\14118.doyとして保存されま\r\nす（※1）。\r\n3. 文書ファイルのシート内に埋め込まれている文字列がC:\\Users\\Public\\14118.xlsbとして保存されま\r\nす（※2）。\r\n4. cmd.exe経由でcertutil.exeが呼び出され、%PUBLIC%\\14118.doyの中身がBASE64デコードされ\r\nて、結果が%PUBLIC%\\14118.biyとして保存されます。\r\n5. ここで偽の入力フォームが表示されます（図10）。\r\n6. rundll32.exeでCampo Loader（%PUBLIC%\\14118.biy）が実行されます。このとき、引数として\r\nDF1が指定されておりDF1関数が呼び出されます。\r\n※1 ファイル名（例えば、14118.doy）に含まれている数値は、疑似乱数を生成する関数で9999 ~ 19999\r\nまで値が生成されますが、実際には攻撃者が保存した際の数値がそのまま保存されており、固定値に\r\nなっています。\r\n※2 当該ファイルは作成されるだけで、実際には攻撃を成立させるためには不要なファイルであると考\r\nえられます。\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 7 of 28\n\n図10 偽の入力フォーム\r\nCampo Loader マルウェアの特徴\r\nCampo Loader（別名：NLoader）は、文書ファイルからドロップされた後に実行されるマルウェアで\r\nす。このマルウェアの役割はダウンローダであり、HTTP通信を行って追加のペイロードを取得・実行\r\nする機能を有しています。通信時に「/campo/」を含むパスにアクセスすることから、Orange\r\nCyberdefense社が「Campo Loader」という名称を使用し[2]、SNS上で定着しました。\r\nCampo Loaderは、3月上旬に変更が加えられ、HTTP通信の特徴が変化しました。本稿では執筆時点\r\n（2021年4月）で最新のものを解説します。\r\n[2] 「In the eye of our CyberSOC: Campo Loader, analysis and detection perspectives」, Orange\r\nCyberdefense, 2021/03/23\r\nhttps://orangecyberdefense.com/global/blog/cybersoc/in-the-eye-of-our-cybersoc-campo-loader-analysis-and-detection-perspectives/\r\nCampo Loaderが実行されると、まずはディレクトリを作成します。下図に示す通り、作成するディレ\r\nクトリ名はハードコーディングされています。\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 8 of 28\n\n図11 ディレクトリの作成\r\n続いて、POSTメソッドで文字列”ping”をサーバへ送信します（図12）。このときに通信するサーバを\r\n以降では「Openfieldサーバ」と呼びます。\r\n図12 Campo Loaderが発生させるリクエストの例\r\nこの段階の通信では、OpenfieldサーバはレスポンスとしてURLを返します（詳細は後述）。このた\r\nめ、Campo Loaderはレスポンスが「h」で始まるかをチェックし、「h」で始まらない場合はプロセス\r\nを終了します（図13）。\r\n図13 ‘h’のチェック\r\n「h」である場合は、そのURLに対して、POSTメソッドで2回目の”ping”メッセージを送信します。こ\r\nれにより、追加のペイロードがダウンロードされ、ファイルとして保存されます。保存されるファイ\r\nルの名前に関してもハードコーディングされています（図14）。\r\n図14 ハードコーディングされている保存ファイル名の例\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 9 of 28\n\nその後、rundll32.exeを使用して、ダウンロードしたDLLファイルの関数を呼び出します。呼び出す関\r\n数名は通常「DF」関数です（※）。この呼び出し引数もハードコーディングされています。\r\nなお、Campo Loaderにはexeファイルをダウンロードして実行するタイプも存在します。日本における\r\n過去の事例では、Campo LoaderがUrsnifやZloaderなどのマルウェアを直接実行したことがあります。た\r\nだし、最近の日本向けのキャンペーンではDLL版が多く、後述のDFDownloaderへのダウンロード・実\r\n行に移行している傾向にあります。\r\n※ Campo Loaderはエクスポート関数として「DF」や「DF1」などの関数名が使用されていますが、後\r\n述のマルウェアであるDFDownloaderも同名の「DF」が関数名として使用されているため、この部分で\r\nCampo LoaderとDFDownloaderを混同しないようご注意ください。\r\nOpenfieldの特徴\r\nOpenfieldサーバは、Campo Loaderが取得するペイロードがホストされたサーバです。ペイロード取得\r\n時の通信先URLとして「/campo/」を含む特徴があります。ここでは、レスポンスの内容とサーバの調\r\n査結果について解説します。\r\nサーバのレスポンス\r\nPOSTメソッドを用いてHTTPボディに “ping “を指定し「/campo/」配下に接続すると、URLが返却され\r\nます（下図）。過去事例として、リダイレクトを示すレスポンスが行われるケースも確認しています\r\nが、最近のものはレスポンスにURLが含む形式が一般的です。\r\n図15 レスポンスの例1\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 10 of 28\n\n図16 レスポンスの例2\r\nなお、Openfieldサーバに関しても「5 リンク先のサーバの特徴」と同様にBlackTDSを用いたアンチボ\r\nットが設定されている可能性があります。このため、BlackTDSサービスによってリサーチャの調査活\r\n動が妨害され、YahooやGNU等の正規のサイトへリダイレクトが行われる可能性があります。\r\nレスポンスとしてCampo Loaderに通知するURLは、以下の2種類のケースがあります。\r\n同サーバの別ディレクトリ（/uploads/files/配下など）を示すURL\r\n他のOpenfieldサーバのURL\r\nなお、過去の日本向けのキャンペーンや海外向けのキャンペーンでは、侵害済みの正規サーバにマル\r\nウェアを配置したと考えられる事例も確認しています。\r\nIPアドレスとドメイン名の特徴\r\n通信先のURLには、IPアドレスとドメイン名が使用されたことがありますが、最近はドメイン名を使用\r\nする傾向があります。ドメイン名は、Namecheap社のサービスで登録されており、「単語＋数字＋xyz\r\nドメイン」という規則性があります。また、ドメイン名に紐づくIPアドレスのレンジは、\r\n176.111.174.0/24であることも調査より判明しています（表1）。\r\n表1 Openfieldに使用されたドメイン名とIPアドレスの例\r\n対象 ドメイン名 IPアドレス\r\n海外 bfdnews[.]xyz 176.111.174[.]72\r\n海外 groupeu[.]xyz 176.111.174[.]72\r\n海外 allcafe[.]xyz 176.111.174[.]72\r\n海外 gainme[.]xyz 176.111.174[.]53\r\n日本 ship4[.]xyz 176.111.174[.]53\r\n日本 gopigs[.]xyz 176.111.174[.]53\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 11 of 28\n\n海外 beauty1[.]xyz 176.111.174[.]53\r\n海外 about2[.]xyz 176.111.174[.]57\r\n日本 board3[.]xyz 176.111.174[.]57\r\n日本 cake3[.]xyz 176.111.174[.]58\r\n日本 dance4[.]xyz 176.111.174[.]61\r\n海外 hall4[.]xyz 176.111.174[.]62\r\n海外 keep2[.]xyz 176.111.174[.]62\r\n海外 lie3[.]xyz 176.111.174[.]59\r\n海外 out2[.]xyz 176.111.174[.]60\r\n海外 noise1[.]xyz 176.111.174[.]60\r\nOpenfieldサーバの由来と機能\r\n「Openfield」は、このサーバを識別するために、海外のセキュリティリサーチャチームCryptolaemus\r\nTeam（@Cryptolaemus1）が名付けた名称です。\r\nWebサーバのディレクトリリスティング機能が有効になっており、コンテンツの一覧を見ることができ\r\nる状態（一般的に”open directory”と呼ばれる）であったことが由来と考えられます。我々の調査でも、\r\nOpenfieldサーバのコンテンツの一覧を見られる状態であったことを確認しています。ただし、この設\r\n定は現在は修正されています。\r\n図17 Openfieldサーバ（当時）のディレクトリリスト\r\nまた、Openfieldサーバには、ログインパネルも存在しています。図17（左）に示す通り、ディレクト\r\nリに「smtp」「mails」といった名称が使用されていることから、Openfieldサーバはメールの送信に関\r\n連した機能を持つ可能性があります。\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 12 of 28\n\n図18 Openfieldサーバのログインパネル\r\nDFDownloader マルウェアの特徴\r\nDFDownloaderは、Campo Loaderによってダウンロード・実行される、2段階目のマルウェアです。この\r\nマルウェアはダウンローダであり、次の段階のマルウェアをダウンロードして実行する役割を担って\r\nいます。ダウンロード・実行のほかにも永続化や自身を更新する機能などを備えており、Campo\r\nLoaderよりも機能が豊富です。また、DFDownloaderには、バージョン情報が埋め込まれており、頻繁\r\nにバージョンアップが行われていることから、今後も継続して使用されるものと予想されます。以降\r\nでは、DFDownloaderの動作について解説します。\r\n後述しますが、海外の事例ではDFDownloaderを使用しないケースも確認されています。\r\nアンチサンドボックス機能\r\nDFDownloaderには、アンチサンドボックス機能があります。DFDownloaderは最初にシステムのメモリ\r\n総量をチェックし、4GiBに満たない場合はプロセスを終了します。また、sleep関数が複数存在してお\r\nり、これら妨害機能によって、サンドボックス環境での実行で正確な結果を得られない可能性があり\r\nます。\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 13 of 28\n\n図19 メモリチェック\r\n文字列の暗号化\r\n下図の通り、DFDownloaderは使用する文字列をXORで暗号化した状態で保持しています。この文字列\r\nには、通信先情報や使用する関数の情報などが含まれています。また、これらの文字列を復号する\r\nXORのルーチンは、サーバからのレスポンスを復号する際にも使用されます。\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 14 of 28\n\n図20 XOR文字列の例\r\n通信の流れ\r\nDFDownloaderによる通信の流れは下図の通りです。通信先として、通常は4種類のドメイン名を保持し\r\nています。DFDownloaderがサーバと通信する際に使用するデータフォーマットは4種類存在します。\r\n図21 DFDownloaderの通信の流れ\r\n①SYS識別子の通信\r\nDFDownloaderは最初に感染したホストで収集した情報をPOSTメソッドで送信します（下図）。このと\r\nき送信される情報はBase64でエンコードされており、識別子などを含んでいることがわかります。\r\n図22 最初の通信例（SYS識別子）\r\nサーバへ送信される情報の詳細は下表の通りです。これらのリクエストに対し、サーバは通常、HTTP\r\nステータスコード「200 OK」のレスポンスを返します。\r\n表2 送信データの詳細\r\n値の例 意味\r\nSYS 識別子\r\n10 OSのメジャーバージョン番号\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 15 of 28\n\n17763 OSのビルド番号\r\nDESKTOP-AABSVH71760622929 コンピュータ名とボリュームシリアル番号から生成した値\r\ntest ユーザ名\r\n64 OSのビット数\r\n1.28r DFDownloaderのバージョン\r\n0 0 または 1\r\n7545391 不明\r\n②BIN識別子の通信\r\n2番目にBIN識別子を使用した通信が発生します（下図）。\r\n図23 2番目の通信例（BIN識別子）\r\nここで、サーバからレスポンスがあった場合、DFDownloaderはレスポンスをXORで復号し、先頭バイ\r\nトが「MZ」（PEファイルのマジックナンバー）で始まるかチェックします。PEファイルである場合、\r\n受信したデータをファイルとして保存します。\r\nその後、作成したファイルのパスを使用して、レジストリに値を登録します（下図）。このレジスト\r\nリへの登録によって、ユーザが端末にログオンした際にDFDownloaderが実行されるようになります\r\n（感染の永続化）。\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 16 of 28\n\n図24 レジストリに登録される値の例\r\nなお、我々は当該通信によってDFDownloaderの更新が行われる動作を確認しました。更新が行われる\r\n際は、新しくファイルを保存し、レジストリの値を書き換え、古いファイルとディレクトリを削除し\r\nます。\r\n③PNG識別子の通信\r\n3番目にPNG識別子を使用した通信が発生します。\r\n図25 3番目の通信例（PNG識別子）\r\nこの通信でサーバから受け取った値に応じて、以降の処理が下表の通り分岐します。分岐処理には実\r\n装途中と考えられる部分があり、今後のバージョンアップによって機能が追加されると予想されま\r\nす。\r\n表3 コマンド\r\n値 説明\r\n0x31\r\n後続の通信で取得するファイル（DLLまたはEXE）を保存して実行する。DLLの場合は関数\r\n名を指定することができる。\r\n0x32\r\n後続の通信で取得するファイル（DLL）を保存して実行する。この場合、実行後に\r\nDFDownloaderのプロセスは終了する。\r\n0x33 未実装。\r\n0x34 未実装。\r\n④BN識別子の通信\r\n最後にBN識別子を使用した通信が発生します（下図）。この通信では、③PNG識別子を使用した通信\r\nでサーバから返ってきた値に合わせて、それぞれの分岐で実行するペイロードをサーバから取得しま\r\nす。前述の通り、取得するペイロードはDLLファイルまたはEXEファイルです。\r\n図26 4番目の通信例（BN識別子）\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 17 of 28\n\nそして、CreateProcessA関数を使用して新しいプロセスを生成します。EXEファイルの場合はそのまま\r\n実行し、DLLファイルの場合はrundll32.exeを使用します。\r\nなお、ループ処理があるため、サーバから期待されるレスポンスがない場合でも、③と④の通信が何\r\n度も発生します。ただし、通信の間隔は一定ではありません。\r\nその後のペイロードの考察\r\n執筆時点（2021年4月）では、後続のペイロードを確認できていません。しかし、海外では類似事例が\r\n報告されており、日本においても今後これらの事例のように感染が進行する可能性があると考えま\r\nす。また、以前から同攻撃者グループによると考えられる攻撃キャンペーンも確認されており、その\r\n内容からも狙いの傾向を推測することが可能です。そこで、ここでは海外事例と過去事例をもとに、\r\n最終的に感染すると考えられるマルウェアを考察します。\r\nこれまでの類似事例から、その後感染する可能性のあるマルウェアは次の図の通りです。Campo\r\nLoaderから、下図の青枠に示すマルウェアに感染する事例があり、DFDownloaderからも同様に感染が\r\n進行する可能性があります。\r\n図27 感染フローの考察\r\nこのように情報窃取やリモートアクセス、ランサムウェアなど様々な被害が想定されます。あくまで\r\n推測であり、上記以外のマルウェアに感染することもあり得る点にご注意ください。\r\n日本における類似事例\r\n日本においては、以前にOpenfieldサーバやCampo Loaderを利用してUrsnifやZloaderへの感染を狙う事例\r\n[3]が確認されています。この事例では、メールに添付された悪性の文書ファイルからドロップされた\r\nCampo Loaderが、UrsnifやZloaderをダウンロードして実行するという流れでした。そのため、\r\nDFDownloaderからUrsnifやZloaderに感染する可能性も考えられます。\r\n[3] 「2020/10/14(火) 添付ファイル付不審メール「【お振込口座変更のご連絡】」（ZLoader）の\r\n調査」, bomb_blog, 2020/10/28\r\nhttps://bomccss.hatenablog.jp/entry/2020/10/28/125630\r\n海外における類似事例\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 18 of 28\n\n海外においても、OpenfieldサーバとCampo Loaderを使用する事例が複数報告されています。これらの\r\n事例も、Campo Loaderが他のマルウェアをダウンロードして実行するケースです。\r\n海外の活発なキャンペーンのひとつに「BazarCall」と呼ばれる攻撃キャンペーンがあります。このキ\r\nャンペーンでは、ユーザがメールに記載の連絡先に電話することで文書ファイルのリンク先に誘導さ\r\nれ、実行することで感染に至ります[4]。\r\nこのキャンペーンでもCampo Loaderが使用されており、本攻撃キャンペーンと同様に文書ファイルか\r\nらドロップされたCampo Loaderが実行されOpenfieldサーバへアクセスし、BazarLoaderをダウンロード\r\nして実行します（図28）。\r\n図28 BazarCall キャンペーンにおけるのBazarLoaderを取得する通信の例\r\n（出典：https://www.malware-traffic-analysis.net/2021/04/16/index2.html）\r\n[4] 「BazarCall malware uses malicious call centers to infect victims」, Bleeping Computer, 2021/3/31\r\nhttps://www.bleepingcomputer.com/news/security/bazarcall-malware-uses-malicious-call-centers-to-infect-victims/\r\nまた、他の事例として、古いタイプのCampo LoaderからTrickbotやPhobos Ransomwareに感染した事例の\r\n報告があります。2020年9月～10月頃の事例ですが、現在も活動を続けるマルウェアですので注意が必\r\n要です。\r\n[5]「Deep Analysis – The EKING Variant of Phobos Ransomware」, Fortinet, 2020/10/13\r\nhttps://www.fortinet.com/blog/threat-research/deep-analysis-the-eking-variant-of-phobos-ransomware\r\n[6] 「TRICKBOT AND EMOTET DELIVERY THROUGH WORD MACRO」, Morphisec, 2020/9/16\r\nhttps://blog.morphisec.com/trickbot-emotet-delivery-through-word-macro\r\n他のキャンペーンとの関連性\r\n調査の過程で判明した他のキャンペーンとの関連性について解説します。\r\nBazarCallとの関連性\r\n4月9日の日本向けの攻撃に使用された文書ファイルを開いた際に表示される偽の入力フォームが、4月\r\n15日にSophos社が公開したレポート[7]にて言及されている偽の入力フォームとほぼ一致しています\r\n（図29、図30）。\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 19 of 28\n\n[7]「BazarLoader deploys a pair of novel spam vectors」, Sophos, 2021/04/15\r\nhttps://news.sophos.com/en-us/2021/04/15/bazarloader/\r\n図29 4月9日の日本向け攻撃キャンペーンで表示される偽の入力フォーム\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 20 of 28\n\n図30 Sophos社のレポートで言及されている偽の入力フォーム\r\n（出典 : https://news.sophos.com/en-us/2021/04/15/bazarloader/）\r\nまた、同様に日本向けの一連の攻撃で使用された文書ファイルの挙動についてもほぼ一致しています\r\n（図31、図32）。\r\n図31 4月9日の日本向け攻撃キャンペーンで使用された文書ファイルのプロセスツリー\r\n図32 Sophos社のレポートで言及されているプロセスツリー\r\n（出典 : https://news.sophos.com/en-us/2021/04/15/bazarloader/）\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 21 of 28\n\nパッカーの類似性\r\nCampo LoaderとDFDownloaderに使用されているパッカーには複数のバリエーションがありますが、一\r\n部のパッカーがTrickbotやBazarLoaderで使用されていたものと類似しています。\r\n下図は、Campo LoaderとDFDownloader（1.28r）で使用されているパッカーのコードの一部です。この\r\nパッカーは、CryptoAPIを使用してマルウェア本体を暗号化しており、CryptImportKey関数によるRSA2\r\nキーのインポートと、CryptEncryptを使用してRC4暗号でデータを処理する動きが特徴的です。\r\n図33 Campo Loaderのパッカーの例\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 22 of 28\n\n図34 DFDownloaderのパッカーの例\r\nこれらのコードは、Cybereason社のブログ[8]で紹介されているBazarLoaderのパッカーやVIPRE Labsの\r\nブログ[9]で紹介されているTrickbotが使用しているパッカーにも同様の特徴が見られます。このような\r\n類似点からも、TrickbotとBazarLoaderが本攻撃キャンペーンに関連する可能性があることがわかりま\r\nす。\r\n[8] 「A Bazar of Tricks: Following Team9’s Development Cycles」, Cybereason, 2020/7/16\r\nhttps://www.cybereason.com/blog/a-bazar-of-tricks-following-team9s-development-cycles\r\n[9] 「Trickbot’s Tricks」, VIPRE Labs, 2018/12/5\r\nhttps://labs.vipre.com/trickbots-tricks/\r\n実行痕跡の確認方法\r\n実行痕跡の確認方法を以下に示します。\r\n端末の自動起動設定の確認\r\nレジストリ\r\nDFDownloaderは、永続化のためにレジストリにDLLファイルを登録します。\r\nユーザが端末にログオンした際にDFDownloaderが実行されるようになります。\r\n表4 レジストリに登録される値の例\r\n項目 値\r\nレジストリキー HKCU\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 23 of 28\n\n値 Shell\r\nデータ型 REG_SZ\r\nデータ （例）explorer.exe, regsvr32.exe C:\\ProgramData\\nmvhg\\nmvhg.dll\r\n図35 レジストリに登録される値の例\r\nネットワークトラフィックやプロキシログの確認\r\n感染時のネットワークトラフィックやプロキシログが残っている場合は、次に示す通信が記録されて\r\nいないかをご確認ください。\r\nCampo Loaderの通信\r\nPOSTメソッドを使用します。このときHTTPヘッダにはUser-Agentがありません。\r\n通信先のドメイン名は、xyzドメインを使用する傾向があります。\r\nURLは正規表現で「\\/campo\\/([a-z0-9]{1,2})\\/([a-z0-9]{1,3})」と表現できます。\r\n図36 Campo Loaderの通信例\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 24 of 28\n\nDFDownloaderの通信\r\nPOSTメソッドを使用します。このときHTTPヘッダにはUser-Agentがありません。\r\n通信先のドメイン名は、xyzドメインを使用する傾向があります。\r\nリクエストのContent-Lengthは、40～100バイト程度です。\r\nサーバレスポンスは、XORで暗号化されています。XORキーは感染した端末ごとに異なる値で\r\nす。\r\n例：「DESKTOP-AABSVH71760622929」\r\n図37 DFDownloaderの通信例1\r\n図38 DFDownloaderの通信例2\r\n生成ファイルの確認\r\n以下に示すようなファイルが生成されていないかをご確認ください。\r\nファイルの名前や保存先などは攻撃者が容易に変更できる部分であるため、未掲載のものが存在する\r\n可能性がある点にご注意ください。\r\n文書ファイル\r\n保存先のフォルダパスは一貫して「C:\\Users\\Public\\」が使用されており、攻撃キャンペーンによ\r\nってファイル名が変化します。\r\n文書ファイルの生成ファイルの例は下表の通りです。\r\n表5 文書ファイルによる生成ファイル例\r\nファイル 説明\r\nC:\\Users\\Public\\14118.doy\r\n文書ファイルがドロップしたファイル。\r\n2021年4月9日の日本向けキャンペーンで使用。\r\nC:\\Users\\Public\\14118.xlsb\r\n文書ファイルがドロップしたファイル。\r\n2021年4月9日の日本向けキャンペーンで使用。\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 25 of 28\n\nC:\\Users\\Public\\14118.biy\r\n「C:\\Users\\Public\\14118.doy」の中身をBase64デコードして生成されたフ\r\nァイル（Campo Loader）。\r\n2021年4月9日の日本向けキャンペーンで使用。\r\nCampo Loader\r\n保存先のパス、ファイル名は、文書ファイルからドロップされるCampo Loaderにハードコーディ\r\nングされています。\r\n「C:\\ProgramData\\」配下を使用する傾向にあります。\r\nCampo Loaderの生成ファイルは下表の通りです。\r\n表6 Campo Loaderによる生成ファイル例\r\nファイル 説明\r\nC:\\ProgramData\\jyqwkf\\jyqwkf.dll\r\nCampo LoaderがダウンロードしたDLLファイル。2021年4月9日\r\nの日本向けキャンペーンで使用。\r\nC:\\ProgramData\\yosgu\\yosgu.dll\r\nCampo LoaderがダウンロードしたDLLファイル。2021年4月8\r\n日、2日の日本向けキャンペーンで使用。\r\nDFDownloader\r\nDFDownloaderの保存先のパス、ファイル名は、ランダムに生成されます。\r\n「C:\\ProgramData\\」配下を使用する傾向にあります。\r\n通信の状況によっては、フォルダとファイルを削除することもあります。\r\nDFDownloaderの生成ファイルは下表の通りです。\r\n表7 DFDownloaderによる生成ファイル例\r\nファイル 説明\r\nC:\\ProgramData\\＜ランダム＞\\＜ランダム＞.dll\r\n例：「C:\\ProgramData\\nmvhg\\nmvhg.dll」\r\nDFDownloaderがダウンロードしたDLLファイ\r\nル。\r\nC:\\ProgramData\\＜ランダム＞\\＜ランダム\r\n＞.exe\r\n例：「C:\\ProgramData\\nmvhg\\nmvhg.exe」\r\nDFDownloaderがダウンロードしたEXEファイ\r\nル。\r\n感染の判断が難しい場合・専門企業による調査が必要な場合\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 26 of 28\n\n下記リンクにて、セキュリティインシデント発生時に緊急対応を請け負ってくれる企業の一覧があり\r\nます。初期相談が無料の企業もあります。\r\nJNSA　サイバーインシデント緊急対応企業一覧\r\nhttps://www.jnsa.org/emergency_response/\r\n謝辞\r\n本稿の執筆にあたり、下記のセキュリティリサーチャ（順不同）による情報共有を活用させていただ\r\nきました。お礼を申し上げます。\r\nCryptolaemus Team (@Cryptolaemus1)\r\nExecuteMalware (@executemalware)\r\nbom (@bomccss)\r\nわが (@waga_tw)\r\nmoto_sato (@58_158_177_102)\r\nMalware Traffic Analysis\r\nhttps://www.malware-traffic-analysis.net/\r\nIoC（5月10日時点）\r\n文書ファイルのハッシュ\r\n7d1ff39fc6daab153ad6477554415336578256257aa81fd796a48b89c7a8b2e8\r\nCampo Loaderのハッシュ\r\nb8212f866c5cdf1a823031e24fe10444aab103d8fb55a25821e1c7c7366e580f\r\nDFDownloaderのハッシュ\r\n8589e2d840c3ed5adbdc160724bdb3c2e703adeec1ec1e29983960c9c00c4469\r\nCampo Loaderの通信先\r\nOpenfieldサーバは、Campo Loader以外のマルウェアでも使用されるため、下記にはBazarCall等で使用\r\nされる通信先が含まれる可能性があります。\r\nまた、他のOpenfieldのURL情報は、URLhausにも登録されています。\r\nhxxp://nightsalmon[.]xyz/campo/b/b\r\nhxxp://foreverbold[.]xyz/campo/b/b\r\nhxxp://superstartart[.]xyz/campo/b/b\r\nhxxp://steeltits[.]xyz/campo/z/z\r\nhxxp://steeltits[.]xyz/campo/LHq/cD\r\nhxxp://139.162.150[.]121/campo/b/j\r\nhxxp://185.14.31[.]147/campo/j1/j2\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 27 of 28\n\nhxxp://ship4[.]xyz/campo/i/i\r\nhxxp://gopigs[.]xyz/campo/k/k\r\nhxxp://board3[.]xyz/campo/h/h2\r\nhxxp://cake3[.]xyz/campo/c4/c4\r\nhxxp://dance4[.]xyz/campo/c5/c5\r\nhxxp://cake3[.]xyz/uploads/files/120.dll\r\nhxxp://chance5[.]xyz/uploads/files/1.dll\r\nhxxp://dance4[.]xyz/uploads/files/120-cr.dll\r\nDFDownloaderの通信先\r\nshowstoreonline[.]com\r\nmoviesmenia[.]com\r\navydabiz[.]com\r\nkingdomcoffee[.]com\r\ndomaindnsresolver[.]xyz\r\ndomainutility[.]xyz\r\ndomainservicing[.]xyz\r\ndomainsupply[.]xyz\r\nSource: https://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nhttps://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/\r\nPage 28 of 28",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://mal-eats.net/2021/05/10/campo_new_attack_campaign_targeting_japan/"
	],
	"report_names": [
		"campo_new_attack_campaign_targeting_japan"
	],
	"threat_actors": [
		{
			"id": "d1f8bd4e-bcd4-4101-9158-6158f1806b38",
			"created_at": "2023-01-06T13:46:39.487358Z",
			"updated_at": "2026-04-10T02:00:03.344509Z",
			"deleted_at": null,
			"main_name": "BazarCall",
			"aliases": [
				"BazzarCall",
				"BazaCall"
			],
			"source_name": "MISPGALAXY:BazarCall",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434944,
	"ts_updated_at": 1775791675,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/37ac2f98ed4a45998773860c1820802bdae19725.pdf",
		"text": "https://archive.orkl.eu/37ac2f98ed4a45998773860c1820802bdae19725.txt",
		"img": "https://archive.orkl.eu/37ac2f98ed4a45998773860c1820802bdae19725.jpg"
	}
}