🔥 この記事の詳細
2026-05-23 更新
C
月内に

APT37が利用する手法を模倣した、LNKファイルによる攻撃手法の分析レポートです

脆弱性🌐 英語ソース
📅 2026-05-23📰 freebuf
📌 一言でいうと
APT37が利用する手法を模倣した、LNKファイルによる攻撃手法の分析レポートです。攻撃者は異或(XOR)暗号化された悪意のあるLNKファイルを用いてPowerShellを起動し、メモリ上でコードを実行させることで検知を回避します。最終的にNode.jsベースのC2木馬をインストールし、計画的タスクを用いて永続性を確保します。
🔍該当判定
  • Windows PCを利用しており、メールやチャットで送られてきた「.lnk」という拡張子のファイルを開く可能性がある
  • PDFやWordなどの文書ファイルに見せかけたショートカットファイルを、社外から受信して実行する運用がある
  • Windows Defenderなどのセキュリティソフトを導入しているが、検知後の「遮断(ブロック)」設定ではなく「通知」のみで運用している
  • 社員が不審なファイルを開いた際、PowerShellやcmd.exeなどのコマンド実行を制限する設定を行っていない
上記いずれにも該当しない → 静観でOK
該当時の対応
1. 不審なメールに添付されたLNKファイルやショートカットファイルを開かない。 2. PowerShellの実行ポリシーを制限し、不審なプロセスの起動を監視する。 3. EDR等のセキュリティ製品で、不自然な親プロセス(cmd.exe -> powershell.exe)からのネットワーク通信を検知・遮断する。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なショートカットファイル(.lnk)の取り扱いについて

お疲れさまです。情報システム担当です。
最近、PDFなどのファイルに見せかけた「ショートカットファイル(.lnk)」を開かせることで、ウイルスに感染させる攻撃が確認されています。

ご協力をお願いしたいこと:
1. 送信元が不明なメールに添付されているファイルや、不自然なショートカットファイルは絶対に開かないでください。
2. 万が一、ファイルを開いた後に不審な動作(黒い画面が一瞬出るなど)を確認した場合は、すぐに情報システム担当までご連絡ください。

対応期限: 本日中(周知確認)
Subject: [Security Alert] Handling Suspicious Shortcut Files (.lnk)

Dear employees,
We have observed attacks where users are tricked into opening "shortcut files (.lnk)" disguised as PDFs or other documents to infect systems with malware.

Requested Actions:
1. Do not open any shortcut files (.lnk) or attachments from unknown or suspicious senders.
2. If you notice any unusual system behavior (e.g., a command prompt window appearing briefly) after opening a file, please report it to the IT department immediately.

Deadline: Immediate
件名: 【共有】APT37模倣のLNKファイルを用いた攻撃手法について

お疲れさまです。LNKファイルを利用した攻撃手法に関する情報共有です。

■ 概要
XOR暗号化されたLNKファイルからcmd.exe -> PowerShellへと連鎖し、メモリ上で悪意のあるコードを実行させる手法です。最終的にNode.jsベースのC2木馬(default.js)を%AppData%配下に展開し、計画的タスク(Copilot_Assistant.exe)で永続化を図ります。

■ 影響範囲
- Windows OSを利用している全端末

■ 対応手順
1. EDRにて、cmd.exeからPowerShellが起動し、外部からzipファイルをダウンロードする挙動を監視してください。
2. %AppData%配下への不審な実行ファイル(node.exe等)の書き込みを検知ルールに追加してください。
3. 計画的タスクに不審なエントリ(Copilot_Assistant.exe等)がないか確認してください。

■ 参考情報
- FreeBuf分析記事

対応優先度: 高
対応期限: 速やかに確認
Subject: [Intel] Attack Method Using LNK Files Mimicking APT37

Dear Security Team,

This is a technical update regarding a campaign utilizing malicious LNK files.

■ Overview
The attack uses XOR-encrypted LNK files to trigger a chain of cmd.exe -> PowerShell, executing malicious code in memory to evade detection. It eventually deploys a Node.js-based C2 Trojan (default.js) in %AppData% and establishes persistence via scheduled tasks (Copilot_Assistant.exe).

■ Scope
- All Windows-based endpoints

■ Mitigation Steps
1. Monitor EDR for cmd.exe spawning PowerShell followed by external ZIP downloads.
2. Implement detection rules for suspicious executable writes (e.g., node.exe) in the %AppData% directory.
3. Audit scheduled tasks for unauthorized entries such as Copilot_Assistant.exe.

■ Reference
- FreeBuf Analysis Report

Priority: High
Deadline: Immediate
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-23 のまとめ🔍 記事を検索