ShadowSilkサイバー攻撃分析 - 中央アジア・APAC政府機関を標的

ShadowSilkサイバー攻撃の全貌

2025年8月27日 | 中央アジア・APAC政府機関を標的

1. 全体の概要と背景

ShadowSilkは、中央アジアおよびアジア太平洋(APAC)地域の政府機関を主な標的とするサイバー脅威グループです。2025年7月時点で36件以上の標的型攻撃が確認されており、機密データの窃取を目的としています。YoroTrooper、SturgeonPhisher、Silent Lynxと関連が深い手法やインフラを使用。

内容:スピアフィッシングやTelegramを活用したC2通信、古典的な永続化手法を駆使し、検知を回避。攻撃対象はウズベキスタン、キルギス、ミャンマーなどで、政府機関を中心にエネルギーや小売なども影響を受けています。この分析では、攻撃の詳細、防御の盲点、今後の対策を解説します。

時期:2025年7月時点で活動継続中(2025年8月27日現在も新たな被害報告あり)。

目的:機密情報窃取とシステムへの長期的なアクセス維持。古典的手法と最新技術を融合させ、セキュリティ対策の隙を突く。

ShadowSilkの攻撃対象国と被害状況

2. 主要な攻撃手法と技術的詳細

(1) スピアフィッシングと初期侵入

  • 攻撃メール:パスワード付きZIPファイルを添付し、本文にパスワードを記載。ユーザーがZIPを展開し、実行するとカスタムローダーが起動し、C2通信を開始。
  • 技術的ポイント:パスワード付きZIPはアンチウイルス(AV)スキャンを回避。ローダーはコード署名なしのEXEまたはスクリプトで、Windowsレジストリ(Runキー)やスケジュールタスクを改変して永続化を確保。
  • 補足:この手法は古典的だが、ユーザーの「添付ファイルを開く」習慣を悪用し、依然として有効(詳細はセクション4で後述)。

(2) TelegramベースのC2通信

  • 通信方法:Telegram Bot APIを介したHTTPS通信を使用。正規のメッセンジャー通信に見せかけ、検知を回避。
  • 技術的ポイント:通信内容はBase64エンコード+AES暗号化。Botトークンはローダー内にハードコードまたは初期通信で取得。多くのEDRやNGFWがTelegram通信を「許可済み」と見なすため、プロキシやSSLインスペクションを回避。
  • 関連情報:この手法はYoroTrooperのインフラと類似(セクション5で詳細)。2025年8月27日現在も継続中。

(3) 永続化メカニズム

  • 手法概要:システム再起動後もマルウェアが自動起動するよう、Windows設定を改変。主な方法は以下の通り:
    メカニズム内容
    Registry RunキーHKCU\Software\Microsoft\Windows\CurrentVersion\Run に実行ファイルパスを追加
    Scheduled Tasksschtasks.exe を使って定期実行ジョブを作成
    WMIイベントサブスクリプション__EventFilter + __EventConsumer でトリガー型実行
    Startupフォルダ%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup にショートカットを配置
    サービス登録sc create でマルウェアをWindowsサービスとして登録
  • 技術的ポイント:UAC回避やDLLサイドローディングも一部で使用。WMIはGUIで見えないためステルス性が高い。

(4) 使用ツールと技術

  • 公開脆弱性:Drupal(CVE-2018-7600, CVE-2018-76020)、WP-Automatic(CVE-2024-27956)を悪用。例:CVE-2018-7600はDrupalのコード実行脆弱性で、Webサーバーへの侵入に使用。CVE-2018-76020はDrupalの認証バイパス脆弱性、CVE-2024-27956はWP-AutomaticのSQLインジェクションを利用。
  • 偵察・侵入:FOFA, Fscan, Gobuster, Dirsearch, Metasploit, Cobalt Strikeを活用し、脆弱なエンドポイントを特定。FOFAとFscanでサーバー指紋を収集、GobusterとDirsearchでディレクトリ列挙、MetasploitとCobalt Strikeでエクスプロイト実行。
  • RAT・管理:PythonベースRAT、JRAT、Morf Project Webパネルで遠隔操作。Python RATは軽量でカスタマイズ性が高く、JRATはクロスプラットフォーム、MorfパネルはC2管理を簡素化。
  • 情報窃取:Chromeの保存パスワード、スクリーンショット、Webカメラ画像を収集し、PowerShellでZIP化して外部送信。スクリーンショットは定期実行、Webカメラはリアルタイムでデータ取得。
  • 横展開・持続性:ANTSWORD, Behinder, Godzilla, FinalShell(Webシェル)、Resocks, Chisel(トンネリング)を使用。ANTSWORDとBehinderはPHPベース、GodzillaはJSP、FinalShellは多言語対応、ResocksとChiselはネットワークトンネリングで内部アクセスを確保。

(5) 攻撃者の構成

  • ロシア語話者:マルウェア開発を担当。YoroTrooperのコードベースを使用し、ロシア語圏の痕跡(コメント、変数名)あり。開発環境にロシア語のIDEやツールが確認される。
  • 中国語話者:侵入活動と標的選定を主導。中国語の脆弱性スキャナ(例:Fscan)や翻訳ツールの使用が確認。攻撃インフラに中国語圏のホスティングサービスが含まれる。
  • 補足:複数言語・地域にまたがる分業体制が特徴。ロシア語話者がバックエンド開発、中国語話者がフロントエンド侵入を担当し、連携して攻撃を遂行(セクション5で詳細分析)。

3. 攻撃対象と影響の背景

  • 対象地域:ウズベキスタン(21件)、ミャンマー(6件)、キルギス(4件)、タジキスタン(4件)、トルクメニスタン(1件)、パキスタン(1件)。主に政府機関が標的で、合計36件の攻撃が2025年7月時点で確認。
  • 対象業種:政府機関を中心に、エネルギー、製造、小売、交通分野にも影響。ウズベキスタンでは特にエネルギー(電力網管理システム)や小売(POSシステム)が被害。ミャンマーとキルギスでは政府の通信インフラが標的。
  • 背景:中央アジア・APAC地域の政府機関は、デジタルインフラの急速な発展に伴いサイバー攻撃の標的になりやすい。予算や専門人材の不足、旧式システムの使用が脆弱性を増大。2025年8月27日時点で攻撃は継続中。

国別被害件数の可視化

4. 防御の盲点と古典的手法の有効性

  • ユーザーの操作習慣:添付ファイルの展開やパスワード入力が攻撃のトリガー。AI警告があってもユーザーの判断が最終要因。「信頼できる送信者」と誤認する傾向が攻撃成功率を高める。
  • メールクライアントの限界:ThunderbirdやWindows標準メールはDefenderと連携せず、添付ファイルが保存されるまでスキャンされない。Outlookも暗号化ZIPの解析に限界あり。
  • サーバー検疫の弱点:暗号化ZIPはスキャン不能。メールサーバーのAI解析も内容にアクセスできない。ExchangeやZimbraの検疫機能がパスワード付きZIPを処理できない。
  • 通信偽装:TelegramのHTTPS通信は正規と誤認され、DefenderやEDRが検知困難。NGFWのSSLインスペクションもTelegramのBot API通信を許可する設定が多い。

Defenderの検知限界

  • ファイルレス攻撃:PowerShellやWMI経由のメモリ常駐型マルウェアは、Defenderのファイルベーススキャンで検知困難。例:PowerShellスクリプトがメモリ内で直接実行。
  • 正規ツール悪用:`schtasks.exe`や`powershell.exe`などWindows標準ツールを使用し、挙動検知を回避。例:スケジュールタスクでマルウェアを定期実行。
  • 暗号化通信:Telegram APIのBase64+AES暗号化により、内容解析がほぼ不可能。EDRが通信内容を復号できないため検知漏れが発生。
  • 設計思想:Defenderは誤検知を避けるため、Runキーやタスク追加を慎重に扱い、WMIやサービス登録の監視が不十分。例:WMIイベントはログに記録されず、GUIでも非表示。

メールクライアントのリスク分析

5. ShadowSilkの特徴と関連グループ

  • ShadowSilkのプロファイル:YoroTrooperの進化形と推定され、複数言語・地域にまたがる高度な脅威。ロシア語話者がマルウェア開発、中国語話者が侵入を担当する分業体制。コードベースにYoroTrooperの旧バージョンが再利用される。
  • 関連グループ:YoroTrooper、SturgeonPhisher、Silent Lynxとコードベースやインフラが重複。例:YoroTrooperのC2サーバーと同一のIP範囲、SturgeonPhisherのフィッシングテンプレートが流用。Silent Lynxの暗号化手法も類似。
  • 技術的特徴:中国語のスキャナ(Fscan)や翻訳ツールの使用、Telegram Botの活用が特徴。攻撃インフラに中国語圏ホスティングやロシア語圏VPSが混在。2025年8月27日時点で活動継続中。

6. 結論

ShadowSilkのサイバー攻撃は、スピアフィッシングやTelegram C2といった古典的手法と最新技術を融合させ、既存の防御構造の隙を突く設計的勝利です。ユーザーの操作習慣、メールクライアントの非連携、暗号化ZIPのスキャン不能、通信偽装が攻撃の成功要因。AIやEDRが進化しても、ユーザー行動やシステム構造が変わらない限り、こうした攻撃は有効であり続けます。2025年8月27日現在、攻撃は継続中であり、早急な対策強化が必要です。

7. 補足:質問や追加解説

ShadowSilkの攻撃手法、YoroTrooperとの関連、または具体的な防御策についてさらに知りたい場合は、お知らせください。例:CVEの詳細解析、EDRの設定方法、ユーザー教育プログラムの具体例など。

💁 サイバーセキュリティ対策を強化 - 最新情報はこちら

推奨防御策
重点項目

メールクライアントの統合強化

添付ファイルの開封前にAIが介入する仕組みを導入。UWPやElectronアプリの隔離構造を改善。例:サンドボックス内でZIPを解析し、実行前にマルウェアを検知。

サーバー側検疫の向上

暗号化ZIPの仮想実行環境での解析を導入し、AIによる事前スキャンを可能に。例:クラウドベースの検疫で暗号化ファイルを一時展開。

ユーザー教育の強化

「開く前に検証する」文化を定着させ、スピアフィッシングへの警戒を高める。例:定期的なフィッシング模擬訓練や警告ポップアップの導入。

防御策の詳細はこちら

2025 ShadowSilkサイバー攻撃分析 | 解説提供:Grok