Silver Fox による Winos 4.0 攻撃キャンペーン：台湾の納税プロセスを悪用

‍

リスクと影響 

最近、台湾を標的とした一連の高精度な標的型フィッシング攻撃が確認されています。主なリスクは、モジュール型Windowsリモートアクセストロイの木馬（Remote Access Trojan、RAT）である Winos 4.0（別名：ValleyRat）の展開です。この攻撃キャンペーンは APT グループ「Silver Fox」（別名：Void Arachne）によるものと強く関連付けられています。 

該当攻撃キャンペーンは、巧妙なソーシャルエンジニアリング、頻繁に変更される配信インフラ、そして高度な隠蔽手法を組み合わせることで、被害者を長期的にリモートコントロールしようとするものであり、高リスクの脅威と評価されています。

‍アナリストの見解  

本キャンペーンでは、税務申告や電子インボイスに関連するシナリオが多用されています。そのため、会計・法務・コンプライアンス業務など、外部書類を頻繁に扱う組織にとって大きな脅威となっています。特に財務・経理部門は、「公式文書」を装ったマルウェア配布の主要なターゲットとなっています。 

また、Silver Fox による Winos 4.0 の展開は日本国内でも確認されており、今後さらに拡大する可能性があります。各組織においては、本脅威インテリジェンスを参考に、自社環境における防御体制の再評価および対策強化を進めることを推奨します。 

‍

概要

今回の攻撃キャンペーンでは、台湾の実際の業務フローを模倣した、ローカライズされたビジネスシナリオが誘導手段として利用されています。具体的には以下の通りです：

• 税務監査の通知
• 確定申告ソフトウェアのインストーラー
• クラウド電子インボイス（電子發票）のダウンロード
• 政府機関を装った偽ウェブサイト（類似ドメインや不正リンクを含む）

被害者は、悪意のあるアーカイブ形式の添付ファイルを開く、あるいは本文に埋め込まれたリンクをクリックすることで、マルウェアのダウンロードへと誘導されます。

これらの悪意のあるファイルは、頻繁に切り替えられるドメインやクラウドストレージ上に分散して配置されています。この高い流動性によって、静的なドメインブロックリストなどの従来の防御メカニズムを巧妙に回避しているのが特徴です。

主要な脅威：Winos 4.0（ValleyRat）による企業への侵入 

実行に成功すると、Winos 4.0 は攻撃者に対して柔軟なリモート管理および侵入後の操作プラットフォームを提供します。このマルウェアはプラグインベースのアーキテクチャを採用しており、攻撃者は必要に応じて以下のモジュールを読み込むことが可能です。 

• ファイル管理
• スクリーンショット取得／リモート画面操作
• リモート制御
• システム管理

また、今回の攻撃キャンペーンにおいて、実行方式のさらなる隠蔽化と痕跡の最小化が発生しています。Windows レジストリへのモジュール保存やインメモリ実行により、ディスクへの書き込みを最小限に抑え、フォレンジック調査の難易度を大幅に高めています。

さらに、本攻撃による Windows システムへの主な影響として、大規模なファイル暗号化が確認されています。これにより、業務停止や重要ファイルへのアクセス不能などの被害が発生するほか、窃取された情報が後続攻撃に悪用される可能性があります。

影響範囲 

現在観測されている攻撃は主に台湾に集中していますが、当該 APT グループはアジア地域全体で継続的に活動しており、過去には以下の業界も標的となっています。 

• 医療・ヘルスケア
• 政府・公共部門
• 重要インフラ
• セキュリティ企業
• 電子商取引（EC）および金融
• 営業・管理系企業

‍

技術分析

本件の技術的な中核は、台湾で展開された多段階のフィッシング攻撃です。まず Winos 4.0 を配信し、その後 UAC（ユーザーアカウント制御）をバイパスして権限を昇格させます。さらに、BYOVD（Bring Your Own Vulnerable Driver） 手法を用いて、脆弱性のある署名済みドライバ（wsftprm.sys）をロードすることで、カーネルレベルでの防御回避を実現します。最終的に、C2 サーバーからコアコンポーネントやプラグインをダウンロードし、Windows レジストリに保存してメモリ上で実行するモジュール型 RAT（Remote Access Trojan）を展開します。 

関連事例において、Winos 4.0 の配信手法は絶えず変化しています。LNK ファイル主体のダウンロードチェーンから、DLL サイドローディングへと移行しており、同時に頻繁に切り替わるドメインやクラウドストレージをインフラとして利用しています。一方で、侵入後の制御用 C2（47.76.86.151）は比較的安定して運用されています。 

従来の LNK ベースのダウンロードチェーンから DLL サイドローディングへ移行しつつあり、同時に頻繁に切り替えられるドメインやクラウドストレージサービスを利用しながら、侵入後の制御用 C2（47.76.86.151）は比較的安定して運用されています。 

偵察（Reconnaissance）

• レジストリによるホスト防御状態の確認
  
  • Winos 4.0 は、Windows レジストリの VulnerableDriverBlocklistEnable を確認します。対象パスは以下の通りです。 
    
    • SYSTEM\\CurrentControlSet\\Control\\CI\\Config
    • バックアップパス：ControlSet001
    • これにより、マルウェアが Microsoft の「脆弱ドライバブロックリスト」が有効化されているかを判定し、その結果に応じてドライバのロード動作や利用パスを調整します。
• プロセス列挙によるセキュリティ製品の識別 
  
  • ドライバを通じてカーネルレベル権限を取得した後、マルウェアは実行中プロセスとハードコードされたセキュリティ製品リストを照合し、どの防御製品が導入されているかを確認したうえで、それらを無効化します。 

資源開発（Resource Development）

• 頻繁に切り替えられる配布インフラ 
  
  • 攻撃者は複数のドメインを登録・使用しているほか、中国系クラウドストレージサービスを利用して、悪意あるペイロードや圧縮ファイルをホストしています。例として、以下が確認されています。 
    
    • bqdrzbyq[.]cn（Setup64.exe をホスト） 
    • njhwuyklw[.]com（クラウド上にホストされた圧縮ファイルへリダイレクト） 
    • *.tos-cn-shanghai.volces[.]com などの TOS ストレージバケット上で E-Invoice.rar をホスト 

初期アクセス（Initial Access）

• 現地の業務シナリオを模倣したスピアフィッシング 
  
  • 被害者は、台湾の税務および電子インボイス業務をテーマとしたフィッシングメールを受信します（例：税務監査通知、確定申告ソフトウェアのインストーラー、クラウド電子インボイスのダウンロードなど）。 
• 添付ファイルまたはリンクを介した悪意ある圧縮ファイルの配布 
  
  • パターン 1：RAR 圧縮ファイル（例：taxIs_RX3001.rar）が配布され、内部にはデコイ文書と悪意ある LNK が含まれています。 
  • パターン 2：フィッシングリンクによって公式サイトを装い、実際には攻撃者が管理するインフラ（主にクラウドストレージサービス）へ誘導します。ダウンロードされる圧縮ファイルには、正規実行ファイルと悪意ある DLL が含まれており、DLL サイドローディングに利用されます。
    

実行（Execution）

• パターン 1：LNK → cmd.exe → 分割ダウンロード → インストーラー展開
  
  • LNK による実行チェーンの起動：ショートカット（LNK）は、相対パスを使用してシステムのコマンドプロセッサを呼び出します：
    ..\\..\\..\\..\\Windows\\System32\\cmd.exe 
  • 難読化されたコマンドチェーン 
    
    • 実行されるスクリプトは、段階的なインストールおよびダウンロード処理を担当します。 
      
      • 作業ディレクトリの作成：%public%\\501
      • 正規の curl.exe をコピーし、url.exe にリネーム
      • リネームされたツールを使用し、bqdrzbyq[.]cn から次段階の実行ファイル Setup64.exe をダウンロード
      • DeviceCredentialDeployment.exe を起動し、処理を正規システム動作に見せかける
  • インストーラー／ローダーの挙動 
    
    • 「64ビットインストーラー_特別版」を装った Setup64.exe が実行されると、リソース内の EXPAND という名前の埋め込み実行ファイルを探索し、 それを展開して以下のパスへ書き込みます： C:\\ProgramData\\Golden。これにより、後続の ValleyRat 展開およびドライバベースの防御回避のためのローカルインフラが構築されます。 
• パターン 2：正規 EXE と悪意ある DLL によるサイドローディング 
  
  • 攻撃者は LNK チェーンから、DLL サイドローディングの手法へと移行しています。 
    
    • 被害者は圧縮ファイル内の正規アプリケーションを実行します。
    • 正規 EXE が攻撃者によって配置された悪意ある DLL を読み込んで、当該 DLL が次段階のコードまたは shellcode を実行します。
  • この悪意のある DLL 内において、開発者の痕跡である明確な PDB パス C:\Users\Administrator\Desktop\大馬專案(二)\x64\Release\DLL.pdb が確認されました。これは、内部のプロジェクト組織において明確な分業体制が敷かれていることを示唆しており、他の関連サンプルや活動を追跡・分析する際の重要なインジケータとなります。 

持続性（Persistence）

• レジストリ常駐型モジュール（ファイルレス手法） 
  
  • C2 通信が確立されると、Winos 4.0 は C2 サーバーからコアモジュールおよびプラグインモジュールをダウンロードします。これらはディスク上に痕跡を残さないよう、Windows レジストリ内に直接保存され、メモリ上でロードされます。 

権限昇格（Privilege Escalation）

• UACを回避して高権限での実行
  
  • Winos 4.0 は RunUAC() を実行し、CheckAdminPrivileges を通じて現在の権限を確認します。
  • まだ権限昇格が行われていない場合、BypassUACViaDebugObject を使用し、RPC AppInfo サービス呼び出しとDebug Object Hijackingを組み合わせます。
  • ホワイトリストに登録された Windows バイナリ computerdefaults.exe を利用して権限昇格を行い、UAC プロンプトを発生させず、ユーザーの可視性とテレメトリノイズを低減します。 
• BYOVD によるカーネルレベルの権限昇格 
  
  • マルウェアは「Bring Your Own Vulnerable Driver（BYOVD）」技術を採用し、wsftprm.sys（署名済み 64 ビットカーネルドライバ「Topaz OFD - PM」、バージョン 2.0.0.0）をロードすることで、カーネルレベルの権限を取得します。 

防御回避（Defense Evasion）

• 今回のキャンペーンでは、各段階で多層的な防御回避手法が用いられています。
  
  • コマンドの難読化：LNK によって起動される cmd.exe のコマンドチェーンを意図的に難読化し、検知を回避します。
  • 信頼されるツールの偽装：正規の curl.exe をコピーして url.exe にリネームし、%public%\501 に配置することで、ファイル名のみに依存する単純な許可・ブロックロジックを回避し、初期調査の難易度を上げます。
  • 信頼されたバイナリを介した実行（プロキシ実行）
    
    • DLL サイドローディングにより、正規実行ファイルを悪用して不正 DLL をロードします。 
    • DeviceCredentialDeployment.exe を偽装目的で呼び出し、通常のシステム挙動に紛れ込ませます。 
  • 監視回避を目的とした BYOVD ドライバのロード ：
    
    • マルウェアは ntdll.dll からネイティブ API（RtlInitUnicodeString、RtlAdjustPrivilege、NtLoadDriver など）を動的に解析し、特定の方法でドライバをロードすることで標準的なサービス監視を回避しようとします。
    • また VulnerableDriverBlocklistEnable を確認し、システム設定に応じて挙動を調整します。 
  • 大規模なセキュリティツールの抑制 
    
    • ハードコードされた対象リストには、Microsoft Defender の複数コンポーネント（MsMpEng.exe、NisSrv.exe、smartscreen.exe、SecurityHealth* など）や、サードパーティ製パッケージ（Trend Micro、Symantec、360、火絨、Avast、AVGなど）が含まれます。 
    • これは、RAT を安定して動作させ、削除される確率を下げるための極めて重要なステップです。 
  • 設定情報の難読化 
    
    • マルウェアは Base64 エンコードを用いて設定要素（C2 アドレスやセキュリティプロセスリスト）を保存しており、後者は二重 Base64 でエンコードされています。 
  • ディスク上のフットプリントの削減 
    
    • モジュールやプラグインをレジストリに保存し、メモリ上でロードすることで、ファイルベースの検知を回避し、フォレンジック証拠を最小限に抑えています。 

認証情報アクセス （Credential Access）

• プラグインモジュールを通じた認証情報の窃取：本キャンペーンでは、キーロギング機能を備えた「登録モジュール」プラグインをダウンロードし、ユーザーが入力したアカウント情報およびパスワードを取得します。 

探索（Discovery）

• OS バージョンの確認：Winos 4.0 は C2へ接続する前に環境検証を行い、システムバージョンを確認します。
• セキュリティ設定の調査：VulnerableDriverBlocklistEnable のレジストリ値を照会し、セキュリティ設定を把握します。 
• 防御製品プロセスの調査：実行中のプロセスを列挙し、内蔵されたセキュリティツール削除リストと照合することで、有効化されている防御機能を確認します。 

情報収集 （Collection）

• プラグインを通じたスクリーンキャプチャの実行
  Winos 4.0 は、画面関連のプラグインモジュールをダウンロードします。例えば、以下のようなものがあります。
  
  • 高速スクリーン（原文：中国語簡体字「高速屏幕」）
  • エンターテインメントスクリーン（原文：中国語簡体字「娱乐屏幕」）
  • 特殊スクリーン（原文：中国語簡体字「差异屏幕」）
• これらのモジュールは、スクリーンショット取得またはリモート画面収集に類似した機能を備えており、攻撃者がユーザーの活動を監視し、画面上に表示された機密情報を取得できるようにします。

コマンド＆コントロール（Command and Control）

• 攻撃インフラを介した段階的なペイロードの取得 
  
  • パターン 1：偽装ダウンローダー（%public%\501\url.exe、すなわちリネーム後の curl.exe）を使用し、bqdrzbyq[.]cn から Setup64.exe をダウンロードします。
  • パターン 2：フィッシング用リダイレクトインフラ を経由し、クラウドストレージサービスから圧縮ファイルをダウンロードします。
• ハードコードされた C2 の実行時デコード
  
  • ‍Winos 4.0 は、C2 IP アドレス 47.76.86.151（TkRjdU56WXVPRFl1TVRVeA==）を二重 Base64 エンコードによって隠蔽し、実行時にデコードします。
  • 環境チェック通過後、C2 へ接続し、中核となる「オンラインモジュール」DLL（このファイル名の原文は中国語簡体字「上线模块.dll」）をダウンロードします。 

• モジュール化された侵入後制御
  
  • ‍オンラインモジュール取得後、マルウェアはさらに他のプラグイン（ファイル管理、スクリーンモジュール、システム管理など）およびログインモジュールをダウンロードします。 
  • これらのモジュールはレジストリ内に保存され、メモリ上でロードされることで、攻撃者は「リモート管理」に類似した操作を継続的に実行できる一方、ファイルベースの痕跡を低減します。 
  • HTTP/Sを超えたサービスレベルの探索：偵察活動には、オーストラリア財務省、アフガニスタン財務省、ネパール首相府などの政府システムに対する SSH（Port 22）接続試行が含まれており、Web アプリケーションだけでなく、直接的なリモート管理インターフェースにも高い関心を示していることが確認されました。 

‍

緩和策 

Winos 4.0 による攻撃キャンペーンが成功している主な要因は、ローカライズされた業務に即したフィッシング（税務調査、確定申告ソフト、電子インボイスをテーマとしたもの）、多段階のローダー、DLL サイドローディング、そして署名済みドライバ（wsftprm.sys）を悪用した BYOVD 技術によるカーネルレベルでの防御回避を組み合わせている点にあります。そのため、緩和策は多層的である必要があり、「静的なドメインブロックだけでは不十分である」という前提に立つ必要があります。攻撃者は絶えずドメインを切り替え、クラウドストレージサービスを巧妙に悪用しているからです。 

1. 初期アクセスの遮断：メール、ウェブサイト、ユーザー実行の制御 

• フィッシング検知の強化
  
  • 添付ファイルと本文内のリンクに対し、リアルタイムのアンチフィッシング、レピュテーション評価、動的解析、そしてサンドボックスを同時に有効化・利用します。今回の攻撃では、類似ドメイン（taxfnat[.]tw など）や、クラウド上のペイロード（tos-cn-shanghai.volces[.]com など）への誘導が確認されています。
  • 「税務」「電子インボイス」などの政府・公的機関に関連するキーワードを「高リスク」と定義し、該当するメールにはより厳格な検査とサンドボックス・ポリシーを適用します。
    
• 悪意のあるアーカイブファイルと LNK ダウンローダーの成功率低減 
  
  • 今回の攻撃チェーンで多用されている添付ファイルのタイプ（LNK ファイルを含むアーカイブ、またはアーカイブ形式で配信される EXE インストーラー）をブロックまたは隔離します。
  • 不審なアーカイブファイル、特にショートカットファイル（.LNK）や「文書 ＋ LNK」といった異常な組み合わせが含まれる場合は、サンドボックスでの先行実行や動的解析後の配信を適用します。
    
• セキュリティ意識の向上とフィッシングメール訓練 
  
  • 予期しない「政府・金融」関連の通知に対しては、電話や公式サイトなどの別ルートで事実確認を行うよう従業員を教育し、現地の業務フローに対する過度な信頼を回避させます。 

2. エンドポイントでのペイロード配信と前置段階の阻止 

• 不審なコマンドチェーンと正規ツールの悪用（LOLBin）の検知・遮断
  
  • 今回のキャンペーンで見られた以下のパターンをハンティングまたはブロックします：
    
    • %Public%\501 などのディレクトリの作成。
    • curl.exe をコピーして url.exe にリネームし、それを使用してファイルをダウンロードする挙動。
    • C:\ProgramData\Golden などの異常なパスへのファイル配置。
  • これらの挙動は攻撃チェーンの初期段階に現れる高リスクなシグナルであり、RAT やプラグインが展開される前に阻止することが可能です。
    
• アプリケーションホワイトリスト
  
  • 第 2 段階では DLL サイドローディング（正規 EXE が同一ディレクトリ内の悪意ある DLL を読み込む手法）が使用されています。リスクを低減するために以下の措置を講じます： 
    
    • ホワイトリストを導入し、 承認されたアプリケーションのみの実行を許可し、ユーザー書き込み可能ディレクトリや一時ディレクトリからの実行を制限します。
    • 「署名済み・正規の実行ファイルが異常なディレクトリから DLL をロードする」挙動を監視し、アラートを発報します。

3. 権限昇格とドライバの悪用（BYOVD）の防止 

• Microsoft の「脆弱なドライバのブロックリスト」の有効化と強制実行
  
  • 以下のレジストリ値を明確にチェックします：
    
    • SYSTEM\CurrentControlSet\Control\CI\Config\VulnerableDriverBlocklistEnable
    • SYSTEM\ControlSet001\Control\CI\Config\VulnerableDriverBlocklistEnable
  • この制御項目が有効であり、かつ監視されてることを確認してください。今回の攻撃キャンペーンに対して、防御回避は wsftprm.sys のロードに強く依存しているため、これは本件において最も直接的な緩和策の一つです。
    
• 不審なドライバロード活動の監視と警告 
  
  • Winos 4.0 は NtLoadDriver などのネイティブ API を利用し、「一般的なサービス監視」を回避しようとします。EDR や SIEM においてドライバロードイベントを収集し、以下との相関分析を実施してください：
    
    • 事前に発生した UAC バイパス挙動。
    • その直後に発生する、セキュリティ製品プロセスの大量終了。

• ローカル管理者権限の削減と UAC 昇格経路の監視
  
  • 悪意のあるプログラムは、ホワイトリスト登録済みのバイナリ（computerdefaults.exe など）を介して UAC バイパスを試みます。ローカル管理者アカウントの普及率を下げ、こうしたバイナリによる異常な権限昇格を監視することで、攻撃者がカーネルドライバをロードし、防御を無効化する機会を減らすことができます。 

4. レピュテーションおよびネットワーク制御による C2・後続活動の制限 

• 既知インフラのブロックおよびハンティング 
  
  • 即時防御および事後調査のため、以下の IOC に対するブロックおよびハンティングを推奨します。 
    
    • C2：47[.]76[.]86[.]151（および関連が疑われる 154[.]91[.]64[.]246） 
    • 配信ドメインおよびリダイレクター： bqdrzbyq[.]cn、taxfnat[.]tw、njhwuyklw[.]com、および tos-cn-shanghai.volces[.]com バケットからの不審なダウンロード。 
• 侵害が疑われる場合の応急対応 
  
  • 以下のような初期侵入指標が確認された場合、端末を直ちに隔離してください。
    
    • LNK → cmd 実行チェーン
    • %Public%\\501
    • wsftprm.sys のロード
    • 既知 C2 への外部通信
  • また、本マルウェアは高権限実行を試みるため、認証情報漏洩が発生している前提で対応する必要があります。影響端末上で使用されたアカウントについてはパスワードリセットを実施し、特権アクセス状況についても確認してください。

‍

参考資料

• ‍Massive Winos 4.0 Campaigns Target Taiwan‍
• 中國駭客 Silver Fox 假借稅務及電子發票名義為幌子，在臺灣散布惡意軟體 Winos 4.0‍
• Massive Winos4.0 Campaigns Target Taiwan‍
• Silver FoxAPT Uses Winos 4.0 Malware in Cyber Attacks Against Taiwanese Organizations‍
• Silver FoxAPT Targets Public Sector via Trojanized Medical Software

‍

侵害指標 (Indicator of Compromise, IoCs)

Domains

bqdrzbyq[.]cn

taxfnat[.]tw

njhwuyklw[.]com

twtaxgo[.]cn

taxhub[.]tw

taukeny[.]com

taxpro[.]tw

lmaxjuyh[.]cn

tkooyvff[.]cn

etaxtw[.]cn

twswsb[.]cn

IP

47[.]76[.]86[.]151

URLs

hxxps://twmoi2002.tos-cn-shanghai.volces[.]com/E-Invoice.rar

hxxps://sdfw2026024.tos-cn-shanghai.volces[.]com/E-Invoice.rar

hxxps://twtaxgo[.]cn/uploads/20260129/taxIs_RX3001.7z

SHA256