サイバーセキュリティ研究者らが「DEAD#VAX」と名付けられた新しいステルス型マルウェアキャンペーンの詳細を公開しました。この攻撃は、従来の検出メカニズムを回避するために「規律あるトレードクラフトと正規システム機能の巧妙な悪用」を組み合わせ、最終的にAsyncRATと呼ばれるリモートアクセス型トロイの木馬を展開します。
この記事のポイント
- IPFSを利用したVHDファイルホスティングにより従来の検出を回避
- 極度に難読化されたスクリプトとランタイム復号化を使用
- メモリ内での実行によりファイルベースの検出を困難に
DEAD#VAX攻撃の技術的特徴
DEAD#VAXキャンペーンは、複数の高度な回避技術を組み合わせた多層的な攻撃手法を採用しています。まず、攻撃者はIPFS(InterPlanetary File System)上にホストされたVHD(仮想ハードディスク)ファイルを利用します。IPFSは分散型ファイルシステムであり、従来のURLベースのブロッキングでは対処が困難です。VHDファイルはWindowsによってネイティブにマウントされるため、ユーザーが悪意のあるファイルにアクセスしやすくなります。
さらに、この攻撃では極度のスクリプト難読化が施されており、セキュリティツールによる静的解析を困難にしています。ランタイム時にのみ復号化されるペイロードは、サンドボックス環境での分析も回避します。
AsyncRATの脅威と影響
AsyncRATは、オープンソースのリモートアクセスツールとして知られていますが、攻撃者によって悪用されることで深刻な被害をもたらします。このRATは、キーロガー機能、画面キャプチャ、ファイル操作、シェルコマンド実行など、多彩な機能を備えています。感染したシステムでは、攻撃者が完全なリモート制御を獲得し、機密情報の窃取、追加マルウェアの展開、横展開攻撃の足がかりとして利用される可能性があります。
メモリ内での実行を重視するこの攻撃手法は、従来のファイルベースのアンチウイルスソリューションでは検出が非常に困難です。エンドポイント検出・応答(EDR)ソリューションの重要性が改めて浮き彫りになっています。
知っておくと便利なTips
- IPFSからの不審なダウンロードをネットワークレベルで監視することを推奨
- VHDファイルの自動マウントを無効化することで攻撃リスクを軽減可能
- メモリベースの脅威に対応できるEDRソリューションの導入を検討
まとめ
DEAD#VAXキャンペーンは、攻撃者がいかに正規の技術やシステム機能を悪用して検出を回避しているかを示す典型的な事例です。IPFSの分散型特性、VHDファイルのネイティブサポート、そしてメモリ内実行という複数の回避技術を組み合わせることで、従来のセキュリティ対策をすり抜けています。組織は、多層防御の考え方に基づき、ネットワーク監視、エンドポイント保護、ユーザー教育を組み合わせた包括的なセキュリティ戦略を構築する必要があります。
📎 元記事: https://thehackernews.com/2026/02/deadvax-malware-campaign-deploys.html
コメント