台湾・日本を標的とする新たなサイバー攻撃 キャンペーン「Swan Vector」

セキュリティ研究機関であるSeqrite Labsは、台湾と日本を標的にした高度な持続的標的型攻撃（APT）キャンペーン「Swan Vector」を発見したことを発表しました。
この攻撃は、教育機関や機械工学業界をターゲットとしており、偽の履歴書ファイルを装ったマルウェア配布が確認されています。

Swan Vector攻撃の概要

Swan Vectorキャンペーンは、教育機関や機械工学業界を標的とし、偽の応募者履歴書を偽装したマルウェアが送信されています

感染の流れは次のとおりです。

1. 悪意あるLNKファイル（ショートカット）による初期侵入

2. Pteroisインプラントと呼ばれるDLLファイルの実行

3. Isurusインプラントによるさらなる攻撃展開

4. Cobalt Strikeシェルコードのダウンロードと実行

これらのマルウェアは、Google DriveをC2（コマンド・アンド・コントロール）サーバーとして悪用し、合法的な通信を装って追加ペイロードを取得していました。

画像：

感染プロセス詳細

第1段階：悪意あるLNKファイルを送付

攻撃は、「詳細記載提領延遲問題及相關交易紀錄.pdf.lnk」などと名付けられたLNKファイルを通じて開始されます。

このショートカットファイルは、RunDLL32.exeを利用して次のステージとなるPterois DLLを実行します。

なお、「履歴書・職歴経歴書」といった日本の一般的な就職活動書式を装ったファイル（例：rirekisho2025.pdf）も用意されていました。
これらの文書は、名前、生年月日、住所、メールアドレス、連絡先、学歴・職歴などの記入欄がある、典型的な日本式フォーマットを忠実に模倣していました。

さらに、第二ページ・第三ページには、職歴の詳細を記載するための「職歴1」「職歴2」などの項目も設けられ、外見上は本物の応募書類と見分けがつかない精巧さでした。

特に、「令和5年」などの日本の元号を用いた日付表記もされており、受信者に違和感を与えない工夫が凝らされていました。このような偽装履歴書を添付したファイルを開くことで、裏でマルウェアが実行され、感染が進行していく仕組みになっていました。

第2段階：Pteroisを埋め込む

Pteroisは、APIハッシュ化やGoogle Driveを利用したペイロードダウンロード機能を持ち、感染の拡大を支援します。ダウンロードされたファイルには、偽の日本語履歴書（rirekisho2025.pdf）も含まれていました。

第3段階：Isurusを埋め込む

次に、正規のWindows実行ファイル「PrintDialog.exe」に偽装したDLLサイドローディング攻撃が実施され、Isurusインプラントが展開されます。このモジュールは、RC4暗号化されたシェルコードを復号してメモリ上に展開し、最終ステージを実行します。

第4段階：Cobalt Strikeでシェルコードを実行

最終的に、Cobalt Strikeのビーコンがメモリ上で起動され、攻撃者のリモート制御下に置かれる仕組みとなっています。通信先には日本国内のIPアドレス（例：52.199.49.4:7284）が利用されていました。

インフラと脅威ハンティング

攻撃者は、Google Driveアカウント「swsanavector42@gmail.com」を通じてマルウェア配布を行っていたことが確認されています。ダウンロードされたファイル群には、実行ファイル（EXE）、DLL、設定ファイル（INI）など、多数のマルウェア関連ファイルが含まれていました。

また、攻撃者は他にも複数のGoogleサービスやApple関連サービスにアカウントを作成し、活動を広げていた形跡があります。

関与組織の推定

今回確認された手口（DLLサイドローディングなど）は、過去にWinntiグループやLazarusグループによる攻撃で使用されたものと類似しています。
これらを踏まえ、東アジア地域のAPTグループによるものと中程度の確信度で推定されています。

結論

Swan Vectorは、2024年12月ごろから活動していると見られ、台湾・日本の複数の組織に対して偽の求人応募書類を使った攻撃を仕掛けています。
同キャンペーンでは、カスタム開発されたダウンローダー、シェルコードローダー、Cobalt Strikeを中心に、複雑な回避技術（APIハッシュ化、直接システムコール、自己削除機能など）を駆使していました。

今後も、Python、WMIサービス、OneDriveランチャーなどを悪用し、同様の攻撃を展開する可能性が高いと見られます。

対策と推奨事項

Seqriteでは、以下のシグネチャでこのキャンペーンに対応しています。

• Pterois.S36007342

• Trojan.49524.GC

• Trojan.49518.GC

また、以下のIOCs（侵害指標）に基づく監視強化が推奨されています。

一般的なセキュリティ対策

Swan Vectorのような高度なサイバー攻撃に備えるためには、特定の脅威への対応だけではなく、日頃から基本的なセキュリティ対策を徹底することが重要です。
以下に、一般企業・組織で取り組むべき基本的な対策をまとめます。

ソフトウェアとシステムの最新化

• OS、ブラウザ、業務アプリケーションなど、使用しているソフトウェアは常に最新のセキュリティパッチを適用してください。

• 特に脆弱性が公表されたソフトウェアについては、速やかなアップデートを徹底することが重要です。

EDR・アンチウイルスソフトウェアの導入と運用

• 信頼できるエンドポイントセキュリティ製品（EDR含む）を導入し、リアルタイム監視を有効にしておきます。

• 定期的にウイルススキャンを実施し、異常が検出された場合は速やかに対応します。

メール・ファイルの取り扱い注意

• 不審な添付ファイルやリンクは絶対に開かないことを徹底してください。

• 特に、拡張子が二重（例：.pdf.lnk）になっているファイルには細心の注意が必要です。

権限管理とアクセス制御

• 必要最低限のアクセス権限（最小権限の原則）に基づき、社内システムやファイルへのアクセスを制限します。

• 特権アカウントには追加の認証手段（MFA：多要素認証）を必ず導入します。

バックアップの実施

• 業務データやシステム設定は、定期的にオフラインバックアップを取っておきます。

• ランサムウェア感染などでシステムが破損した場合にも、速やかに復旧できる体制を整えておくことが必要です。

従業員へのセキュリティ教育

• フィッシングメールの見分け方や、感染の兆候を察知するポイントなどについて、定期的なセキュリティ教育を実施してください。

• 最新の攻撃手法やトレンドも共有し、全社的な危機意識を高めることが効果的です。

ログ監視と異常検知

• サーバ、ネットワーク機器、セキュリティ機器などのログを定期的に分析し、異常なアクセスや挙動を早期に検知できる体制を構築します。

参照

https://www.seqrite.com/blog/swan-vector-apt-targeting-taiwan-japan-dll-implants/

関連記事

EDRSilencerがエンドポイントセキュリティを回避する手段に悪用 ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577) 中国のハッカーがFortinetのゼロデイ脆弱性を悪用し、資格情報を盗む ランサムウェア グループがPuTTYとWinSCPのマルバタイジング攻撃でWindows管理者を標的にしている PHPの脆弱性(CVE-2024-4577)を悪用してハッカーがバックドアを仕掛ける 偽のグーグル クロームのエラーで悪意のあるPowerShellを実行させるよう誘導-ClickFixによるソーシャルエンジニアリング 台湾政府に関連する研究機関へ中国のハッカー集団APT41が不正アクセス ランサムウェア グループがWindowsのゼロデイ 脆弱性をサイバー攻撃に悪用(CVE-2025-29824) iOSとAndroidに対応したトロイの木馬(GoldPickaxe)を発見｜顔認証データやSMSも傍受

投稿者：三村

セキュリティ対策Labのダークウェブの調査から執筆まで対応しています。 セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)や脆弱性の営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。