IIJ(株式会社インターネットイニシアティブ、東京都千代田区)のSOC(Security Operation Center)によると、税務調査を装った攻撃メールが昨年12月にIIJのサービスを利用している複数の顧客に宛てて送信されたということです。これらのメールにはPDFファイルを装ったファイルのダウンロードを促す内容が含まれており、受信者がファイルをダウンロードして実行するとValleyRATに感染するということです。
標的を監視して制御する多段階型マルウェア
RATはRemote administration toolの略でネットワークを遠隔操作するためのマルウェアです。ですからValleyRATに感染してしまうと実質的に端末やネットワークが乗っ取られ遠隔で操作される状態になる可能性があります。ValleyRATについては2024年8月にFortinetが詳しいレポートを公開しています。Fortinetによると、ValleyRATはさまざまな手法を悪用して被害者を監視して制御する多段階型のマルウェアだということです。Fortinetのレポートのケースでも産業商業年次レポートや税務担当者のブラックリストなど財務にかかる文書を装っていたということですからIIJが確認した税務調査を装っていたケースと共通しています。
しかし、Fortinetのケースでは文書の表題は中国語で記載されており、また、C2サーバーとの通信を開始する前に中国の検索エンジンへの接続を試行しており、さらに感染後には中国で人気の通信アプリケーションに関連するレジストリ―キーがシステムに存在することを確認しているということです。対象としている実行可能ファイル名も中国企業によって開発された製品のコンポーネントだということです。これらのことからFortinetは中国語の話者と中国のシステムを標的にした攻撃との見解を示しています。
APT「Silver Fox」の主力マルウェア
Fortinetによるとこの攻撃者はAPTグループである「Silver Fox」に帰属しているということです。Silver Foxは2022年後半から活発に活動している中国語を話す個人や組織をターゲットにしているサイバー脅威グループで国家支援型のサイバー諜報活動とランサムウェアや金銭窃取を目的とした攻撃の両面を使い分けている脅威と見られています。フィッシングのほかに検索エンジンを悪用して偽サイトからマルウェアをダウンロードさせるSEOポイズニングなどの攻撃手法で知られ、ValleyRATはSilver Foxが主力で使用しているマルウェアだということです。
IIJのSOCによると、昨年12月に観測された税務調査を装ったメールにはPDFファイルの確認を促す旨の内容とGitHubのURLが記載されており、URLにアクセスするとEXEファイルを含むZIPファイルがダウンロードされValleyRATに感染するということです。IIJのSOCはFortinetが報告しているケースとの共通性を指摘しつつ「今回観測した悪性ファイルと同様の特徴をもつマルウェアは継続してマルウエア検査サイト上で確認しており、今後も同様の攻撃が継続する可能性があるため注意が必要です」としていますが、標的の対象やSilver Foxについての言及は特にありません。
ちなみに国税庁では昨年9月からメールを含めたオンラインツールを順次導入しているということですが、メールでの通知は納税者が希望した場合のみ実施しているということですので、希望をしていないのに送られてきた国税庁や税務署を名乗るメールは偽装メールと判断され、そのようなメールが届いた時はURLや添付されているファイルには決して触らず、心配であれば国税庁や税務署に直接連絡をして確認するようにしましょう。
【出典】
https://wizsafe.iij.ad.jp/2026/01/2099/
https://www.fortinet.com/jp/blog/threat-research/valleyrat-campaign-targeting-chinese-speakers