GOVERSHELLは、特定の脅威アクターによって大きく展開されているGoベースのインプラントです。
彼らの展開するスピアフィッシングキャンペーンのペイロードとして使われていることが確認されています。
どういったものなのでしょうか。
- 活発な開発で多くの亜種
GOVERSHELLには、いくつもの亜種が確認されています。
時間の経過とともに順次新たな亜種が出てきているように見えますので、開発が活発な状態なのでしょう。- HealthKick
これは2025年4月から観測されています。
cmd.exeを使用してコマンドを実行する機能を備えています。
C++で書かれています。 - TE32
これは2025年6月から観測されています。
owerShellリバースシェルを介して直接コマンドを実行する機能を備えています。
Go言語で書かれています。 - TE64
これは2025年7月初旬から観測されています。
PowerShellを使用してネイティブおよび動的コマンドを実行し、システム情報や現在のシステム時刻を取得し、powershell.exe経由でコマンドを実行し、新しい指示を外部サーバーにポーリングする機能を備えています。
Go言語で書かれています。 - WebSocket
これは2025年7月中旬から観測されています。
powershell.exe経由でPowerShellコマンドを実行する機能と、システムコマンドの一部として実装されていない「update」サブコマンドを備えています。
Go言語で書かれています。 - Beacon
これは2025年9月から観測されています。
PowerShellを使用してネイティブおよび動的コマンドを実行し、基本ポーリング間隔を設定したり、ランダム化したり、powershell.exe経由でPowerShellコマンドを実行したりできる機能を備えています。
Go言語で書かれています。
- HealthKick
- 一貫したスタイル
ペイロードは多数ありますし、実装言語も途中で変化していますが、攻撃のスタイルは一貫しています。
標的に合わせた文面で信頼関係を構築し、メールのリンクをクリックさせます。
メールのリンクはPDF文書を装っていますが、実際には圧縮ファイルへのURLとなっています。
圧縮ファイル形式にはZIPとRARのどちらかが使われます。
圧縮ファイルのなかには無害なexe形式のファイルが収められており、これが起動される際に有害なDLLが再度ローディングされる、という形式です。 - さまざまなC2接続
亜種毎にC2接続の方式も変化していることが確認されています。
使うポートが変化する、利用するプロトコルが変化する、といったものです。 - さまざまな言語でフィッシング
中国語(北京語)、ドイツ語、フランス語、日本語で構成されたフィッシングメールが確認されています。
それぞれのメールは、ターゲットに特化した文面で構成され、適度な長さで、一貫したテンプレートには従っておらず、流暢な自然な言語で書かれているように見えました。
文章が流暢ではあるのですが、不自然な不整合が多数みられることから、これらの多言語環境への対応には生成AIが多用されていることが考えられます。
この脅威キャンペーンは現在も継続されています。
そして使用される言語からも分かるように、そのターゲットの範囲には日本も含まれています。
もはや単純な文面の不自然さだけからはそのメールがフィッシングメールなのかは判断できないようになってきていると思われます。
脅威活動の道具の開発の敷居はどんどん下がってきています。
さまざまなツールを駆使することで不自然さも緩和されてきていて、正規のモノなのか悪意あるモノなのか、簡単に区別できないようになってきています。
そしてソフトウェアの脆弱性を悪用するのではなく、人の心の部分に作用して実行を開始させる仕上がりのものが増えてきています。
注意一秒怪我一生とならないように注意が必要ですね。
APT Meets GPT: Targeted Operations with Untamed LLMs
https://www.volexity.com/blog/2025/10/08/apt-meets-gpt-targeted-operations-with-untamed-llms/
| この記事をシェア |
|
|---|
