{ "id": "03b8cb5b-bf60-4d47-8f6e-10324c6456cb", "created_at": "2026-04-06T00:13:43.603224Z", "updated_at": "2026-04-10T13:12:06.176337Z", "deleted_at": null, "sha1_hash": "bd80423ed49e1a45eb34e4d6f36bba460aee9e45", "title": "ショートカットとISOファイルを悪用する攻撃キャンペーン | セキュリティ研究センターブログ", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 1161598, "plain_text": "ショートカットとISOファイルを悪用する攻撃キャンペーン |\r\nセキュリティ研究センターブログ\r\nBy 竹内 寛\r\nPublished: 2025-01-10 · Archived: 2026-04-05 22:01:37 UTC\r\nセキュリティ研究センターでは、2022年4月に日本の組織を標的としたスピアフィッシングを確認し、\r\nそれを起点とする攻撃の分析を行いました。その攻撃はショートカットファイルやISOファイルの悪\r\n用、マルウェアの1つは今年3月にリリースされたGo言語 1.18で開発されており解析が困難であるなど\r\nの特徴がみられました。分析を通して得た関連情報から今回の攻撃は3月頃から続いている攻撃キャン\r\nペーンの1つであると考えています。ここでは、導入済みのセキュリティ対策が今回の攻撃に有効であ\r\nるかの検討やインシデント対応の参考になるよう分析の詳細結果について共有します。\r\n初期アクセス(Initial Access)\r\n標的組織にスピアフィッシングメールを配送します。そのメールに記載したURLからファイルをダウン\r\nロード、実行するように誘導します。ダウンロードされるファイルの種類は、ショートカットファイル\r\nとISOファイルの2種類を確認しています。それぞれの攻撃フローを以下に解説します。\r\nショートカットファイルのケース\r\nこのケースでは、ダウンロードしたZIPファイルの中にショートカットファイルが2つ含まれていま\r\nす。図1のようにアイコンを偽装しPDFファイルにみせかけています。\r\n図1. アイコン偽装されたショートカットファイル\r\nショートカットファイルを実行するとWindows10に付属しているScriptRunner.exeとcurl.exeを使い外部か\r\nらWord 97-2003 テンプレートファイルをダウンロードし、Wordのスタートアップフォルダに保存しま\r\nす。これにより以降Wordを起動した際には、ダウンロードしたテンプレートファイルが自動的に実行\r\nされるようになります。\r\n実行される処理は、2つのショートカットファイルで共通しています(図2)。\r\nhttps://security.macnica.co.jp/blog/2022/05/iso.html\r\nPage 1 of 8\n\n図2. ショートカットファイルに設定されているコマンド\r\nテンプレートファイルはマクロを含んでおり、更に新たなテンプレートファイルを外部からダウンロー\r\nドし開こうとします。調査時点では次のファイルは入手できず、以降の攻撃については解明できていま\r\nせん。\r\n図3. 分析により判明したショートカットファイルを悪用する攻撃の流れ\r\nISOファイルのケース\r\nこのケースでは、メールに記載されたURLからISOファイルがダウンロードされます。\r\nISOファイルは、光学ディスク(CD/DVD/Blu-ray Disc)の中身をまとめたイメージファイルです。\r\nWindows10では、標準機能によりISOファイルをダブルクリックして開くことができます(図4)。\r\n図4. ISOファイルの中身\r\nhttps://security.macnica.co.jp/blog/2022/05/iso.html\r\nPage 2 of 8\n\nダウンロードされたISO ファイルの中には図4にあるファイル以外にも、隠し属性が付与され表示され\r\nなくなっているファイルが存在します。7-Zipなどのツールやエクスプローラのメニューで隠しファイ\r\nルを表示する設定にするとそれらのファイルを視認することができます(図5)。\r\n図5 . 隠しファイルの表示を有効にしたISOファイルの中身\r\n拡張子を表示しない設定であると、ISOファイルの中にはドキュメントファイル2つしか表示されず(図\r\n6)、ユーザが実行してしまう可能性が高くなります。\r\n図6. 拡張子の表示をしない設定にした場合のISOファイルの中身\r\nISOファイルには以下のようなファイルが含まれています。\r\nfile.docx 無害なデコイファイル\r\nfile2.docx 無害なデコイファイル\r\nwwlib.dll マルウェア\r\n案内.docx.exe 正規Wordアプリの実行ファイルWinWord.exeをリネームしたもの\r\n申込書.doc.exe 正規Wordアプリの実行ファイルWinWord.exeをリネームしたもの\r\n* 正規Wordアプリをリネームしたファイル名は攻撃毎に異なっています。\r\nhttps://security.macnica.co.jp/blog/2022/05/iso.html\r\nPage 3 of 8\n\nISOファイルの中にある\"案内.docx.exe\" と \"申込書.doc.exe\"は、正規のWordアプリケーション\r\n(WinWord.exe)をリネームしたもので、実際にはマルウェアではありません。隠し属性が設定されてい\r\nるファイルの1つである\"wwlib.dll\"がマルウェアで、\"案内.docx.exe\" 、もしくは\"申込書.doc.exe\"を実行\r\nした際に\"wwlib.dll\"がロードされて、悪意のあるコードが実行されます。\r\nWinWord.exeは\"wwlib.dll\"をロードするため、悪意のあるDLLファイル名を同じ\"wwlib.dll\"にして同じフ\r\nォルダ内に設置すると正規のDLL でなく悪意のあるDLLがロードされることになります。\r\nこのように悪意のあるDLLのファイル名を正規の実行ファイルがロードするものと同じ名前にし、正規\r\nの実行ファイルにロードさせて検知を回避しようとするテクニックは、\"DLL Side-Loading\"と呼ばれて\r\nいます(図7)。\r\n図7. DLL Side-Loading\r\nGo言語(golang)で開発されたインジェクター wwlib.dll\r\nwwlib.dllは、実行ファイルからFMain関数が呼ばれると、ロードした実行ファイル名によって処理を変\r\nえるようになっています。\r\nファイル名に\"docx\"が含\r\nまれている\r\nISOファイル内にあるデコイファイルの\"file.docx\"を開き永続化処理を\r\n行う。\r\nファイル名に\"doc\"が含\r\nまれている\r\nISOファイル内にあるデコイファイルの\"file2.docx\"を開き永続化処理を\r\n行う。\r\nファイル名\r\nに\"NvData.doc\"が含まれ\r\nている\r\n180秒スリープした後に、外部サーバにHTTP GETでアクセスしダウン\r\nロードしたコードを新たに起動したExplorer.exeにインジェクションす\r\nる。(Process Hollowing)\r\nhttps://security.macnica.co.jp/blog/2022/05/iso.html\r\nPage 4 of 8\n\n上記以外 存在しないドメインのURL https[:]//abc.cbasade[.]com/jp.js へ接続。Anti-Analysisが目的と思われる。\r\n永続化処理として、感染機器再起動後に自動起動されるようにWinWord.exeを\"NvData.doc.exe\"にリネー\r\nムして、wwlib.dllと合わせて\"C:\\Users\\\u003cユーザ名\u003e\\AppData\\Roaming\\Microsoft\\Windows\\Nvida\"に保存し\r\nた後にPowerShellを使いログオンスクリプトとして登録します。\r\n-----------------------------------------------------------------------------------\r\npowershell.exe -c \"powershell -c 'New-ItemProperty \\\"HKCU:\\Environment\\\" UserInitMprLogonScript\r\n-value \\\"C:\\Users\\\u003cユーザ名\u003e\\AppData\\Roaming\\Microsoft\\Windows\\Nvida\\NvData.doc.exe\\\"\r\n-PropertyType string | Out-Null'\"\r\n-----------------------------------------------------------------------------------\r\nこれにより[ファイル名に\"NvData.doc\"が含まれている]の条件になり、以降感染機器に再度ログインし\r\nたタイミングで外部サーバに接続をするようになります。\r\n今回分析した検体は下記URLにアクセスします。\r\nhttps[:]//abc.mbusabc[.]com/Events\r\nまた、ユーザエージェントは固定で埋め込まれています。\r\nMozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.60\r\nYaBrowser/22.12.0.966 Yowser/2.5 Safari/537.36\r\n図8. 分析により判明したISOファイルを悪用する攻撃の流れ\r\nhttps://security.macnica.co.jp/blog/2022/05/iso.html\r\nPage 5 of 8\n\nCobalt Strikeの可能性\r\n今回の調査では、インジェクターであるwwlib.dll が外部サーバからダウンロードしたコードは入手でき\r\nませんでした。\r\nしかし公開サービスにて興味深い検体の存在を確認しました。\r\nSHA256: c2ccdecfbe1b356392a5cb9ed7afb0ef41e8732d5d55dd60b62884fa76831918\r\nFile name: ABU.exe\r\nこの検体は、Cobalt Strikeのbeacon(RAT)をメモリ上にロードするStagerで今年1月下旬に日本から公開サ\r\nービスへアップロードされています。\r\nこのStagerは今回分析したインジェクターと同じ特徴的なUser-Agentで同じパス(/Events)に接続に行くこ\r\nとから、今回の攻撃でもCobalt Strike Stagerがインジェクションされた可能性もあると考えています。\r\nGo言語(golang)で開発された検体解析の課題へのアプローチ\r\ngolangでビルドされた実行ファイルには必要なライブラリが全てスタティックリンクされるため、解析\r\nの際にはライブラリ関数かマルウェアの関数を判別するのが非常に大変な作業になります。ただし、シ\r\nンボル情報が削除されたとしてもgolangでビルドされた実行ファイルのpclntab (Program Counter Line\r\nTable)と呼ばれるデータ領域には関数名が残されています。IDA proやMandiantの公開ツール\r\nGoRecSym[1]は、その情報を使い関数をリネームしてくれます。残念ながらまだ原因は特定できていま\r\nせんが、1.18でビルドしシンボル情報が削除された実行ファイルからは既存ツールではpclntabから正し\r\nい関数のアドレスの抽出ができず関数のリネームに失敗してしまいました。そのため今回の分析では、\r\n課題は残っていますがgolang1.18 でビルドされシンボル情報が残っているx86実行ファイルを使いIDA\r\nProの関数を識別するFLIRT(Fast Library Identification and Recognition Technology)シグネチャを独自に作\r\n成しました。作成にはMandiantが公開しているida2pat.py[2]をpython3とIDA 7.x APIにリファクタリング\r\nしたもの[3]を使用しました。\r\n*1 Ready, Set, Go -- Golang Internals and Symbol Recovery\r\n*2 FLARE IDA Pro Script Series: Generating FLAIR function patterns using IDAPython\r\n*3 https://github.com/0xebfehat/flare-ida/blob/master/python/flare/idb2pat.py\r\nhttps://security.macnica.co.jp/blog/2022/05/iso.html\r\nPage 6 of 8\n\n図9. 独自に作成したgo.1.18 x86向けFLIRTシグネチャ適用前後の比較(左:適用前、右:適用後)\r\nおわりに\r\n今回の攻撃では、メールに記載されたURLリンクからHTTPSでダウンロードされることからメールやネ\r\nットワークセキュリティでのブロック・検知が困難になっています。そのためエンドポイント上での検\r\n知・ブロックがキーになると考えています。また、ショートカットファイルやISOファイルを悪用した\r\n攻撃は、EmotetやIcedIDを使う攻撃でも使われており注意が必要です。\r\n今回ショートカットファイルや多段のダウンロード[4]など特徴的なTTPを観測しました。これらは過去\r\n観測したDarkHotelのTTPと類似していることから根拠の確度は低い(Low Confidence)ながら今回の攻撃\r\nキャンペーンにも関与しているのではないかという印象を分析した結果から受けています。\r\n*4 標的型攻撃の実態と対策アプローチ 第3版\r\nAppendix 関連インディケータ\r\nNo Type Indicator Note\r\n1 sha256 c2ccdecfbe1b356392a5cb9ed7afb0ef41e8732d5d55dd60b62884fa76831918\r\nCobalt Strike\r\nStager https\r\nx86\r\n2 sha256 dde42da10fd716ab521451826bb4e1ff030e893bb80cb61b4ea106bc76fe94ad LNKファイル\r\n3 sha256 64f41d1eefd0331f591d128aa0c70e8bd21e580f555b6a5358b9617906e5a68d LNKファイル\r\nhttps://security.macnica.co.jp/blog/2022/05/iso.html\r\nPage 7 of 8\n\n4 Domain fd471sx.disknxt[.]com\r\nHTTPS。デコ\r\nイファイルの\r\nダウンロード\r\n元\r\n5 Domain eeb71bf6c.disknxt[.]com\r\nHTTPS。テン\r\nプレートファ\r\nイルのダウン\r\nロード元\r\n6 Domain resource.officehoster[.]com\r\nHTTP。テン\r\nプレートファ\r\nイルのダウン\r\nロード元\r\n7 IP 172.105.229[.]93\r\n6のPassive\r\nDNS\r\n8 Domain 6bfeeb71c.disknxt[.]com\r\nHTTPS。ISO\r\nファイルのダ\r\nウンロード元\r\n9 IP 149.28.16[.]63\r\n4,5,8のPassive\r\nDNS\r\n10 URL https[:]//abc.mbusabc[.]com/Events\r\nwwlib.dllの通\r\n信先\r\n11 IP 172.104.122[.].93\r\n10のPassive\r\nDNS\r\n12\r\nfile\r\nname\r\nNvData.doc.exe\r\n正規Word実\r\n行ファイル\r\n(WinWord.exe)\r\nをリネームし\r\nたもの\r\n13 sha256 6c959cfb001fbb900958441dfd8b262fb33e052342948bab338775d3e83ef7f7\r\n正規Word実\r\n行ファイル\r\n(WinWord.exe)\r\nSource: https://security.macnica.co.jp/blog/2022/05/iso.html\r\nhttps://security.macnica.co.jp/blog/2022/05/iso.html\r\nPage 8 of 8", "extraction_quality": 1, "language": "JA", "sources": [ "Malpedia" ], "origins": [ "web" ], "references": [ "https://security.macnica.co.jp/blog/2022/05/iso.html" ], "report_names": [ "iso.html" ], "threat_actors": [ { "id": "1dadf04e-d725-426f-9f6c-08c5be7da159", "created_at": "2022-10-25T15:50:23.624538Z", "updated_at": "2026-04-10T02:00:05.286895Z", "deleted_at": null, "main_name": "Darkhotel", "aliases": [ "Darkhotel", "DUBNIUM", "Zigzag Hail" ], "source_name": "MITRE:Darkhotel", "tools": null, "source_id": "MITRE", "reports": null }, { "id": "b13c19d6-247d-47ba-86ba-15a94accc179", "created_at": "2024-05-01T02:03:08.149923Z", "updated_at": "2026-04-10T02:00:03.763147Z", "deleted_at": null, "main_name": "TUNGSTEN BRIDGE", "aliases": [ "APT-C-06 ", "ATK52 ", "CTG-1948 ", "DUBNIUM ", "DarkHotel ", "Fallout Team ", "Shadow Crane ", "Zigzag Hail " ], "source_name": "Secureworks:TUNGSTEN BRIDGE", "tools": [ "Nemim", "Tapaoux" ], "source_id": "Secureworks", "reports": null }, { "id": "2b4eec94-7672-4bee-acb2-b857d0d26d12", "created_at": "2023-01-06T13:46:38.272109Z", "updated_at": "2026-04-10T02:00:02.906089Z", "deleted_at": null, "main_name": "DarkHotel", "aliases": [ "T-APT-02", "Nemim", "Nemin", "Shadow Crane", "G0012", "DUBNIUM", "Karba", "APT-C-06", "SIG25", "TUNGSTEN BRIDGE", "Zigzag Hail", "Fallout Team", "Luder", "Tapaoux", "ATK52" ], "source_name": "MISPGALAXY:DarkHotel", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "c0cedde3-5a9b-430f-9b77-e6568307205e", "created_at": "2022-10-25T16:07:23.528994Z", "updated_at": "2026-04-10T02:00:04.642473Z", "deleted_at": null, "main_name": "DarkHotel", "aliases": [ "APT-C-06", "ATK 52", "CTG-1948", "Dubnium", "Fallout Team", "G0012", "G0126", "Higaisa", "Luder", "Operation DarkHotel", "Operation Daybreak", "Operation Inexsmar", "Operation PowerFall", "Operation The Gh0st Remains the Same", "Purple Pygmy", "SIG25", "Shadow Crane", "T-APT-02", "TieOnJoe", "Tungsten Bridge", "Zigzag Hail" ], "source_name": "ETDA:DarkHotel", "tools": [ "Asruex", "DarkHotel", "DmaUp3.exe", "GreezeBackdoor", "Karba", "Nemain", "Nemim", "Ramsay", "Retro", "Tapaoux", "Trojan.Win32.Karba.e", "Virus.Win32.Pioneer.dx", "igfxext.exe", "msieckc.exe" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434423, "ts_updated_at": 1775826726, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/bd80423ed49e1a45eb34e4d6f36bba460aee9e45.pdf", "text": "https://archive.orkl.eu/bd80423ed49e1a45eb34e4d6f36bba460aee9e45.txt", "img": "https://archive.orkl.eu/bd80423ed49e1a45eb34e4d6f36bba460aee9e45.jpg" } }