** 本記事は、GOLD BLADE remote DLL sideloading attack deploys RedLoader の翻訳です。最新の情報は英語記事をご覧ください。**
ソフォスのアナリストは現在、サイバー犯罪グループ GOLD BLADE が使用するカスタムマルウェア RedLoader の新たな感染チェーンを調査しています。このマルウェアはコマンドアンドコントロール (C2) 通信を開始するものです。この攻撃者たちは、LNK ファイルを悪用してリモートで実行し、無害な実行ファイルにサイドローディングを行います。この実行ファイルが、GOLD BLADE のインフラ上でホストされている RedLoader の初期のペイロードを読み込みます。攻撃者たちは以前にも、これらの手法を個別に使用していました。WebDAV を使ってリモートでホストされている DLL を実行する手法は 2024 年 9 月に観測され、名称を変更した ADNotificationManager.exe ファイルをサイドローディングする手法は 2025 年 3 月に観測されています。しかし、2025 年 7 月に観測されたこの組み合わせは、これまで報告されたことのない初期実行方法でした。
実行チェーン
実行チェーンを図 1 に示します。攻撃は、「indeed.com」のような求人サイトを経由して、巧妙に作成された PDF 形式のカバーレターを標的に送信することから始まりました。
図 1: 観測された RedLoader の実行チェーン
- PDF 内に含まれる悪意のあるリンクから、標的のシステムに ZIP アーカイブがダウンロードされます。このアーカイブには、PDF を装った LNK ファイルが含まれています。
- この LNK ファイルは conhost.exe を実行します。
- conhost.exe は WebDAV を悪用して、CloudFlare のドメイン (automatinghrservices[.] workers[.]dev) に接続します。履歴書を装った、Adobe の署名付き実行ファイル ADNotificationManager.exe の名称を変更したファイルが、攻撃者の管理下にあるサーバー (dav[.]automatinghrservices[.]workers[.]dev @ SSL\DavWWWRoot\CV-APP-2012-68907872.exe) にリモートでホストされています。このファイルは、RedLoader 第 1 段階の DLL ファイル (netutils.dll) と同じディレクトリに存在します。
- 実行時、名称が変更された無害な実行ファイルは悪意のある DLL (netutils.dll) をリモートからサイドロードし、ここから RedLoader の感染チェーンが開始します。
- RedLoader の第 1 段階は、標的のシステム上に「BrowserQE\BrowserQE_」という名前のスケジュールタスクを作成し、「live[.]airemoteplant[.]workers[.]dev」から第 2 段階のスタンドアロン実行ファイルをダウンロードします。このスタンドアロン実行ファイルの使用は、2024 年 9 月に観測された活動とは異なり、2024 年 3 月に Trend Micro が報告した感染チェーンに類似しています。
- スケジュールタスクは PCALua.exe と conhost.exe を使用して、RedLoader 第 2 段階であるカスタム実行ファイル「BrowserQE_.exe」を実行します。この実行ファイル名は標的固有のものですが、SHA256 ハッシュはソフォスのアナリストが観測したすべてのサンプルで一致していました。
- RedLoader 第 2 段階が、C2 サーバーと通信します。
緩和策
7 月の活動は、攻撃者が従来の手法を組み合わせて攻撃チェーンを修正し、防御を回避できることを示しています。GOLD BLADE は、他のファイルタイプになりすます LNK ファイルに引き続き大きく依存しています。組織は、マルウェアに悪用される一般的なディレクトリからの LNK ファイルの実行をブロックするソフトウェアの制限グループポリシーオブジェクトを導入することで、この脅威を軽減できます。たとえば、「C:\Users\*\Downloads\*.lnk」、「%AppDataLocal%\*.lnk」、「%AppDataRoaming%\*.lnk」などのディレクトリが挙げられます。
表 1 に記載されているソフォスの保護機能が、この活動に対応します。
| 名前 | 説明 |
| Evade_28k | DLL 名にかかわらず、adnotificationmanager.exe の特定のバージョンを DLL サイドローディングからブロックする |
| WIN-DET-EVADE-HEADLESS-CONHOST-EXECUTION-1 | プロセスパスが「\Windows\splwow64.exe」、 「\Windows\System32\WerFault.exe」、または 「\Windows\System32\conhost.exe」ではない場合に、 conhost.exe の疑わしい子プロセスを特定する |
| Troj/Agent-BLKU | RedLoader 第 2 段階の静的検知 |
表 1:この脅威に対応するソフォス製品
このマルウェアのリスクを軽減するには、表 2 に記載されているインジケーターを使用して、アクセスを精査および制限する制御策を講じることができます。ドメインには悪意のあるコンテンツが含まれている可能性があるため、ブラウザで開く前にリスクを考慮してください。本記事で紹介した IoC を含む CSV ファイルは、ソフォスの Github リポジトリから入手可能です。
| IOC | タイプ | 状況説明 |
| automatinghrservices[.]workers[.]dev | ドメイン名 | GOLD BLADE C2 サーバー |
| quiet[.]msftlivecloudsrv[.]workers[.]dev | ドメイン名 | GOLD BLADE C2 サーバー |
| live[.]airemoteplant[.]workers[.]dev | ドメイン名 | GOLD BLADE C2 サーバー |
| netutils.dll | ファイル名 | リモート DLL サイドローディング経由で GOLD BLADE によって展開される RedLoader 第 1 段階 |
| d302836c7df9ce8ac68a06b53263e2c685971781a48ce56b3b5a579c5bba10cc | SHA256 ハッシュ | リモート DLL サイドローディング経由で GOLD BLADE によって展開される RedLoader 第 1 段階 |
| f5203c7ac07087fd5029d83141982f0a5e78f169cdc4ab9fc097cc0e2981d926 | SHA256 ハッシュ | GOLD BLADE によって展開される RedLoader 第 2 段階 |
| 369acb06aac9492df4d174dbd31ebfb1e6e0c5f3 | SHA1 ハッシュ | GOLD BLADE によって展開される RedLoader 第 2 段階 |
表 2: この脅威の IOC
