本記事が扱う事象は、Securonixが宿泊・観光関連の組織に対するマルウェア(不正プログラム)活動「PHALT#BLYX」を報告し、侵入がフィッシングから始まり、偽のシステム障害画面とWindows標準ツールの悪用で長期アクセスを確立する点です。攻撃の終着は遠隔操作型のDCRatであり、侵入の多くが「利用者に手順を実行させる」設計になっています。 (SiliconANGLE)
- PHALT#BLYXが示す構造:宿泊業務フローに沿った侵入設計
- 侵入の流れ:偽Booking.comから偽CAPTCHA・偽BSoDへ接続
- 実行段階の中核:PowerShellとMSBuild.exeでprojを動かす
- 最終ペイロードDCRat:遠隔操作・情報取得・追加投入の可能性
- 組織側で整理する確認点:検知の焦点と運用プロセスの分解
PHALT#BLYXが示す構造:宿泊業務フローに沿った侵入設計
PHALT#BLYXは、予約キャンセルを装う連絡から操作手順を提示し、利用者の実行で感染を成立させる多段階チェーンです。 (SiliconANGLE)
Securonixの報告では、攻撃の起点が宿泊予約サイトを模した連絡に置かれています。具体的には、Booking.comの予約キャンセル通知を装うメールでリンクを踏ませ、攻撃者側の偽サイトへ誘導します。ここで重要なのは、添付ファイルを開かせる型ではなく、画面上の「修復手順」を利用者に実行させる点です。そうすることによって、端末側の自動防御が想定する「不正ファイルの実行」を迂回しやすくなります。 (SiliconANGLE)
対象は欧州の宿泊関連組織に偏っているとされ、メール内の通貨表示がユーロである点などが地域推定の根拠として挙げられています。ただし、使われている手口そのものは業界依存ではなく、他業種へ横展開できる設計だと整理されています。以上を踏まえると、業種固有の季節要因と、汎用的な侵入技術が結合している点が判断材料になります。 (SiliconANGLE)
侵入の流れ:偽Booking.comから偽CAPTCHA・偽BSoDへ接続
偽サイト上で偽CAPTCHAと偽BSoD(ブルースクリーン)を順に出し、Runダイアログへ貼り付けさせる点が中核です。 (SiliconANGLE)
攻撃は、メール本文のリンクから高精度に作り込まれた偽Booking.comサイトへ遷移させます。到達後は、偽のブラウザエラーや偽CAPTCHAが表示され、その後にWindowsのBSoDを模した画面に切り替わります。ここで「復旧手順」として、Windowsの「ファイル名を指定して実行(Run)」を開き、クリップボードの内容を貼り付けて実行するよう指示されます。つまり、手順は修復を装いながら、実体はPowerShellの実行に接続しています。 (SiliconANGLE)
なお、段階が複数に分かれている理由は、誘導の正当性を画面遷移で補強しつつ、最後の実行だけを利用者操作に寄せるためです。この点から、メール・Web・端末操作が一本の線でつながるため、検知や遮断も単一ポイントに寄せにくい構造になっています。そこで、流れを要点として整理すると次の通りです。 (SiliconANGLE)
| 段階 | 表示・指示の例(コピペ可) | 利用される要素 | 目的 |
|---|---|---|---|
| 1 | 「予約キャンセルの確認」 | フィッシングメール | 偽サイトへ誘導 |
| 2 | 「CAPTCHAを確認」 | 偽Webページ | 次画面へ遷移 |
| 3 | 「システムが停止しました」 | 偽BSoD表示 | 復旧手順を提示 |
| 4 | 「Win+R → 貼り付け → Enter」 | Run/クリップボード | PowerShell実行へ接続 |
| 5 | 「処理中」 | PowerShell+MSBuild | 追加ペイロード投入 |
実行段階の中核:PowerShellとMSBuild.exeでprojを動かす
PowerShellがprojファイル取得を担い、MSBuild.exeが正規バイナリとして実行を代理する点が技術上の要所です。 (SiliconANGLE)
貼り付けによって起動されるPowerShellは、外部からMSBuildのプロジェクトファイル(例:v.proj)を取得し、MSBuild.exeで実行します。MSBuild.exeはMicrosoftのビルドツールであり、環境内の正規機能として存在します。そのため、living-off-the-land(環境内ツール悪用)の典型として、許可リスト型の制御や単純な実行ファイルブロックに依存する検知をすり抜けやすくなります。 (SiliconANGLE)
proj側では、防御回避と永続化、最終ペイロードの配置までを順に実行します。報道・解説では、Microsoft Defenderの除外設定変更、スタートアップ領域での永続化、最終的なDCRatの展開が挙げられています。さらに、Securonixは過去サンプルとの関連として、以前は.htaファイルとmshta.exeの悪用が見られ、現在のチェーンへ変化したと説明しています。つまり、実行方法の主語が「不審な実行ファイル」から「既存ツールの組み合わせ」に寄っている点が、攻撃側の更新点です。 (Securonix)
最終ペイロードDCRat:遠隔操作・情報取得・追加投入の可能性
DCRatは遠隔操作に加えてキーロギングやプロセスホロウイングを含み、端末内で活動を隠しながら追加投入を許容します。 (SiliconANGLE)
到達するDCRatは、端末の遠隔操作、コマンド実行、キーロギングなどを担うRAT(Remote Access Trojan:遠隔操作型トロイの木馬)として説明されています。Securonixは、プロセスホロウイング(正規プロセスにコードを注入して見え方を変える手法)を含むとし、The Hacker Newsもプラグイン型で機能拡張できる点を整理しています。そうすることによって、侵入後の目的が情報取得だけに限定されず、追加のマルウェア投入へつながる余地が残ります。 (SiliconANGLE)
また、管理者権限が得られるかどうかで動作が分岐する可能性も示されています。権限不足時にUAC(ユーザーアカウント制御)の許可を繰り返し求める挙動や、正規のBooking.com管理画面を開いて操作の正当性を装う挙動が報じられました。なお、言語痕跡としてCyrillic(キリル文字)のデバッグ文字列や、proj内のロシア語要素が言及され、ロシア語圏の関与可能性が推定材料とされています。ただし、特定の実行主体は確定していない、という位置づけです。 (The Hacker News)
組織側で整理する確認点:検知の焦点と運用プロセスの分解
メール・Web・端末操作が連鎖するため、ログの突合と運用分担を前提に検知点を配置する必要があります。 (SiliconANGLE)
本記事が示す状況では、侵入の成立が「利用者の貼り付け実行」に寄っているため、単一の装置で完結する対処だけでは条件差が生じる可能性があります。言い換えると、メール到達、偽サイト閲覧、Run起動、PowerShell実行、MSBuildによるproj実行という流れを、部門横断で追跡できるかが実務上の確人点になります。 (SiliconANGLE)
ログ観点では、端末側でのPowerShell起動の文脈、MSBuild.exeの不自然な起動(通常業務での頻度差)、外部から取得されたprojの実行、Defender除外の変更、スタートアップへの永続化(Startupフォルダの.urlなど)といった要素が論点になります。他方、ネットワーク側ではC2(指令サーバ)への通信や特定ポート利用が観測点になります。ただし、これらは単体では一般的な管理操作と重なる場合があるため、メールの件名・遷移先ドメイン・端末操作の時系列を突合して判断する整理が必要です。以上を踏まえると、「不審ファイルの検出」より「不自然な操作列の検出」へ重心が移っている、とまとめられます。 (SOC Prime)
