Netskope Threat Labs、LegionLoaderを配信する新たな攻撃キャンペーンを発見 回避手法として偽のCAPTCHAとCloudFlare Turnstileを悪用

セキュリティとネットワーク業界をけん引するNetskopeの調査研究部門であり、クラウド関連の脅威を中心に独自のリサーチを行うNetskope Threat Labsは、偽のCAPTCHAとCloudFlare Turnstileを悪用し、ローダー型マルウェアのLegionLoaderを配信する新たな攻撃キャンペーンを発見、その手法に関する詳しい分析結果を発表しました。

主な分析結果:

• Netskope Threat Labsは新たなドライブバイダウンロード攻撃キャンペーンを発見しました。このキャンペーンでは偽のCAPTCHAと、CAPTCHAの代替となる機能を提供するCloudFlare Turnstileを悪用し、ローダー型マルウェアのLegionLoaderのペイロードを配信していました。

•  感染チェーンでは、悪意あるDLLのサイドローディングに正規のVmware署名付きアプリケーションが悪用されていました。悪意あるDLLは、LegionLoaderペイロードの読み込みと実行に使用され、最終的に悪意あるブラウザ拡張機能のインストールへとつながります。

•  LegionLoaderのシェルコードローダーの難読化解除には、新しいカスタムアルゴリズムが使用されていました。

概要 

Netskope Threat Labs は、2025年の2月以降、検索エンジンを使用してPDFドキュメントを検索するユーザーを標的とした複数のフィッシングおよびマルウェアキャンペーンの追跡と報告を行ってきました。それらの攻撃では、PDFを開くことで、攻撃者がさまざまな手法を駆使して被害者を誘導し、悪意あるウェブサイトにアクセスさせ、またはマルウェアをダウンロードするよう促します。

これらの脅威を追跡する中で、Netskope Threat Labsは、類似する手法を用いた悪意あるキャンペーンの存在を明らかにしました。そのキャンペーンで用いられていたのが、偽のCAPTCHAとCloudFlare Turnstileを使用し、悪意あるブラウザ拡張機能のインストールに使用するためのLegionLoaderを配信する手法です。標的とされたのはNetskopeのお客様140社以上であり、主に北米、アジア、南欧を拠点とし、テクノロジーおよび金融サービス業界を筆頭に多様な業界に及んでいました。

本リリースでは、この特定の攻撃キャンペーンについて、下記を含めた感染チェーン全体に関する概要を解説します。 

• 検知回避の手法

•  被害者のマシン上でのLegionLoaderの実行方法

•  悪意あるブラウザ拡張機能を読み込み、機密情報の窃取に使用する方法 

 初期の感染チェーン：PDFのダウンロードと偽のCAPTCHA 

感染は被害者が特定の文書を検索して悪意あるウェブサイトにおびき寄せられることによって開始され、初期のペイロードはドライブバイダウンロードによって拡散されます。ダウンロードされたドキュメントにはCAPTCHA画像が含まれており、被害者がその画像をクリックすることによって、CloudFlare Turnstile CAPTCHAへとリダイレクトされ、次にブラウザの通知ページへと遷移します。

感染チェーンを進めるには、被害者がブラウザ上で通知を有効にする必要があります。

被害者が、ブラウザによる通知リクエストをブロック、もしくはブラウザ通知に対応していないブラウザを使用している場合、7-ZipやOperaなど無害なアプリケーションのダウンロードページへとリダイレクトされます。一方、被害者がブラウザによる通知を受信することに同意した場合には、第二のCloudFlare Turnstile CAPTCHAへと遷移し、この段階が完了すると、被害者は検索対象としていた文書のダウンロード方法を指示するページへとリダイレクトされます。

そのページでは被害者に対する指示として、キーボードでWin+Rを打鍵してWindows Runウィンドウを開き、Ctrl+Vでクリップボードにコピーされたコンテンツを貼り付けて、エンターキーで実行するよう促します（同様の手法は、Lumma Stealerに関する報告でも言及されています)。本ケースでは、クリップボード上にコピーされたコマンドは、cURLを実行してMSIファイルをダウンロードするプロンプトを使用しています。続いてコマンドによってMSIファイルのダウンロード先であるFile Explorerが開かれ、被害者がこのMSIファイルを実行することで初期のペイロードが実行されます。

感染チェーン②：MSIファイルの実行

被害者がMSIファイルを実行すると、「Kilo Verfair Tools」という名称のアプリケーションが登録され、そのアプリケーションにはCustomActionsテーブルによって定義された複数のカスタムアクションが含まれています。このCustomActions テーブルは、インストールプロセスへのカスタムコードとデータの統合を促進します。

疑いを持たれないようにするために、MSIはlauncher.exeを実行してSumatraPDFアプリケーションを実行します。SumatraPDFは無料かつオープンソースの文書閲覧アプリで、これを実行することにより、検索していたPDFファイルを閲覧しようとしているという被害者の思い込みを強化することができます。

CustomActionsテーブルによって定義された複数のカスタムアクションには、logd.batという名称のバッチスクリプトが含まれており、以下の2つを実行します。

1. サーバー上で収集されたパスワードを使用し、「jp_ver.dat」という名称の7-zip アーカイブから複数のDLLを抽出

2. VMWare証明書を使用して署名されたmksSandbox.exeファイルを実行

感染チェーン③：悪意あるDLLのサイドローディング

mksSandbox.exeファイルが実行されると、そのディレクトリに含まれるDLLファイルがサイドローディングされます。特に「libcrypto-1_1-x64.dll」ファイルは偽のOpenSSLライブラリで、これによってLegionLoaderペイロードの読み込みと実行が開始されます。

マルウェアの難読化解除は、分析を欺くことを目的として、数多くの無用な数学的処理の中で行われます。この時、検知回避のためにAPI Hammeringの手法も同様に用いられていることが明らかになりました。

感染チェーン④：最初のPowerShellペイロード

LegionLoaderサーバーのレスポンスには、感染したマシン上で実行される暗号化済みのPowerShellコマンドが含まれています。そのPowerShellスクリプトはもう一つのペイロードをダウンロードして実行するよう設計されており、次のペイロードのダウンロードに必要なURLを入手するための一連の難読化解除の手順を実行します。これらの手順が完了すると、PowerShellスクリプトはWebClientを使用して、次のペイロードをダウンロードします。

感染チェーン⑤：第二のPowerShell

ダウンロードされたPowerShellスクリプトには、高度に難読化されたペイロードが含まれています。ペイロードを復号するために、PowerShellスクリプトはbase64で暗号化されたキーと変数として定義された初期化ベクトルの復号を実行し、PKCS7パディングを伴うCBCモードでAESデクリプタを設定します。AESデクリプタはペイロードの復号化に使用され、復号化されたコードはInvoke-Expressionを使用して実行されます。

感染チェーン⑥：悪意あるブラウザ拡張機能の追加

復号化されたペイロードはさらに別のPowerShellスクリプトで、被害者のマシンに、正規の拡張機能を模倣したと見られる「Save to Google Drive」という名称の拡張機能を追加します。このPowerShellスクリプトは、平文ではなくバイト配列で記載することによって、主要なコマンドを難読化しています。

PowerShellスクリプトは、標的とするブラウザプロセス名と、ブラウザの「User Data」フォルダのパスを特定します。プロセス名とフォルダパスは全てバイト配列の中に含まれており、使用する際に文字列に変換されます。ブラウザ設定を変更する前に、PowerShellスクリプトはブラウザプロセスを終了させます。

PowerShellスクリプトは、ブラウザプロセスを終了させた後、ブラウザ拡張機能フォルダとファイルを生成します。全ての必要な変更が完了すると、前回終了させたブラウザプロセスを開始させ、ブラウザ拡張機能が問題なく追加されたことを確認します。

悪意あるブラウザ拡張機能は、manifest.jsonファイルによって指定された幅広い権限を備え、スクリプトの実行、マシン情報の収集、クリップボードに保存された情報を含むさまざまなブラウザデータへのアクセスといった能力を備えます。この拡張機能は、Google Chrome、Microsoft Edge、Brave、Operaなど複数のブラウザを標的としてインストールされます。この拡張機能がインストールされると、クッキーやブラウザ履歴、ユーザーのコンピューターに関する詳細など機密情報を収集します。また、Bitcoinに関する行動を監視し、関連するデータを抽出して攻撃者に送ります。

結論

攻撃者は、オンラインでPDFドキュメントを検索するユーザーを標的とした攻撃を続けています。Netskope Threat Labsでは類似するキャンペーンへの継続的な追跡を通じて、被害者が悪意あるPDFファイルを開くことでLegionLoaderマルウェアが実行され、最終的に悪意あるブラウザ拡張機能がインストールされる攻撃を発見しました。この悪意ある拡張機能は、Chrome、Edge、Brave、Operaなどにインストールされ、ユーザーおよびコンピュータに関する機密情報を窃取します。Netskope Threat Labsは文書を探すユーザーを標的としたこれらの攻撃を監視するとともに、LegionLoaderとそれによって配布される悪意あるペイロードに関連する活動への監視を、今後も続けていきます。

分析データについて
本リリースで示した分析は、Netskope のお客様から事前の承諾を得、Netskope Security Cloudプラットフォームを通じて収集された匿名の使用データのサブセットに基づいています。

 IOC（侵入の痕跡）

本攻撃キャンペーンに関連して発見された全IOCはNetskopeのGitHub repositoryでご覧いただけます。

本プレスリリースは、米国時間2025年4月4日に発表されたブログをもとに作成しました。

Netskopeについて

Netskopeは、最新のセキュリティとネットワーク技術で業界をリードしています。人、デバイス、データがどこにあっても、最適化されたアクセスとリアルタイムのコンテキストベースのセキュリティを提供し、セキュリティチームとネットワークチームの両方のニーズに応えることができます。

Fortune 100企業の30社以上を含む数千社のお客様が、Netskope Oneプラットフォーム、特許取得済みのゼロトラストエンジン、そして強力なNewEdgeネットワークを信頼し活用しています。これらのソリューションにより、あらゆるクラウド、SaaS、ウェブ、プライベートアプリケーションの利用状況を可視化し、セキュリティリスクの低減とネットワーク性能の向上を実現しています。

詳しくは、netskope.com/jpをご覧ください。

本件に関する報道関係者からのお問い合わせ先
Netskope 広報事務局 （合同会社NEXT PR内）
TEL: 03-4405-9537 FAX: 03-6739-3934
E-mail: netskopePR@next-pr.co.jp