C
月内に
中国の大学を標的とした「龍嘯行動 (Operation Dragon Whistle)」と呼ばれるフィッシング攻撃
📌 一言でいうと
中国の大学を標的とした「龍嘯行動 (Operation Dragon Whistle)」と呼ばれるフィッシング攻撃が確認されました。攻撃者はmacOS風の深い階層のフォルダ構造を用いて悪意のあるペイロードを隠蔽し、セキュリティスキャンの回避を試みています。LNKファイルからVBScript、そしてDLLサイドローディングへと至る感染チェーンを通じて、最終的にメモリ上でマルウェアを実行させます。
🔍該当判定
- 社内でWindows PCを利用している
- メールで送られてきたZIP形式などの圧縮ファイルを日常的に開封している
- PDFに見えるが実際はショートカットファイル(.lnk)であるような不審な添付ファイルを開いた可能性がある
- Windows標準のファイルエクスプローラーで、深い階層のフォルダ構造を持つファイルを扱っている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
不審な添付ファイル(特に二重拡張子や圧縮ファイル)を開かないこと。エンドポイント保護製品(EDR)でVBScriptの不審な挙動やDLLサイドローディングを検知・遮断する設定を推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なメールの添付ファイル開封に関する注意について
お疲れさまです。情報システム担当です。
大学や公的機関を装い、健康診断や体測などの通知を装った巧妙なフィッシングメールが確認されています。
ご協力をお願いしたいこと:
1. 心当たりのない送信元からのメールや、不自然な添付ファイル(特に圧縮ファイルやPDFに見えるファイル)は絶対に開かないでください。
2. 万が一、不審なファイルを開いてしまった場合は、すぐにネットワークから切り離し、情報システム担当まで報告してください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
大学や公的機関を装い、健康診断や体測などの通知を装った巧妙なフィッシングメールが確認されています。
ご協力をお願いしたいこと:
1. 心当たりのない送信元からのメールや、不自然な添付ファイル(特に圧縮ファイルやPDFに見えるファイル)は絶対に開かないでください。
2. 万が一、不審なファイルを開いてしまった場合は、すぐにネットワークから切り離し、情報システム担当まで報告してください。
対応期限: 本日中
Subject: [Security Alert] Caution Regarding Suspicious Email Attachments
Dear employees,
We have observed sophisticated phishing emails masquerading as official notifications (e.g., health checks or mandatory tests).
Requested Actions:
1. Do not open attachments from unknown senders, especially compressed files or files that appear to be PDFs but have unusual extensions.
2. If you have accidentally opened a suspicious file, please disconnect your device from the network and report it to the IT department immediately.
Deadline: Immediate
Dear employees,
We have observed sophisticated phishing emails masquerading as official notifications (e.g., health checks or mandatory tests).
Requested Actions:
1. Do not open attachments from unknown senders, especially compressed files or files that appear to be PDFs but have unusual extensions.
2. If you have accidentally opened a suspicious file, please disconnect your device from the network and report it to the IT department immediately.
Deadline: Immediate
件名: 【共有】Operation Dragon Whistle (UNG0002) による標的型攻撃について
お疲れさまです。標的型攻撃に関する情報共有です。
■ 概要
アクターUNG0002による「Operation Dragon Whistle」が確認されました。macOS風のネストされたフォルダ構造を用いて検知を回避し、LNKファイル → VBScript (chromedo.vbs) → DLLサイドローディング (ark_x86.dll) の経路で感染させます。
■ 影響範囲
- Windows OSを利用する組織(特に教育機関)
■ 対応手順
1. EDR/AVにて、不審なVBScriptの実行および未知のDLLのロードを監視してください。
2. ユーザーに対し、二重拡張子ファイルや不審なアーカイブファイルの開封禁止を周知してください。
3. ネットワーク境界での不審なC2通信の有無を確認してください。
■ 参考情報
- Seqrite 技術レポート
対応優先度: 高
対応期限: 速やかに
お疲れさまです。標的型攻撃に関する情報共有です。
■ 概要
アクターUNG0002による「Operation Dragon Whistle」が確認されました。macOS風のネストされたフォルダ構造を用いて検知を回避し、LNKファイル → VBScript (chromedo.vbs) → DLLサイドローディング (ark_x86.dll) の経路で感染させます。
■ 影響範囲
- Windows OSを利用する組織(特に教育機関)
■ 対応手順
1. EDR/AVにて、不審なVBScriptの実行および未知のDLLのロードを監視してください。
2. ユーザーに対し、二重拡張子ファイルや不審なアーカイブファイルの開封禁止を周知してください。
3. ネットワーク境界での不審なC2通信の有無を確認してください。
■ 参考情報
- Seqrite 技術レポート
対応優先度: 高
対応期限: 速やかに
Subject: [Threat Intel] Operation Dragon Whistle (UNG0002) Campaign
Dear Security Team,
We are sharing intelligence regarding 'Operation Dragon Whistle' attributed to actor UNG0002.
■ Overview
The campaign utilizes deeply nested folders mimicking macOS structures to evade scanning. The infection chain consists of a malicious LNK file triggering a VBScript (chromedo.vbs), which then employs DLL side-loading (ark_x86.dll) to execute the final payload in memory.
■ Scope
- Organizations using Windows OS (specifically educational sectors).
■ Mitigation Steps
1. Configure EDR/AV to monitor and block suspicious VBScript execution and unauthorized DLL loading.
2. Educate users on the risks of double-extension files and suspicious archives.
3. Monitor network traffic for potential C2 communication associated with this actor.
■ Reference
- Seqrite Technical Report
Priority: High
Deadline: Immediate
Dear Security Team,
We are sharing intelligence regarding 'Operation Dragon Whistle' attributed to actor UNG0002.
■ Overview
The campaign utilizes deeply nested folders mimicking macOS structures to evade scanning. The infection chain consists of a malicious LNK file triggering a VBScript (chromedo.vbs), which then employs DLL side-loading (ark_x86.dll) to execute the final payload in memory.
■ Scope
- Organizations using Windows OS (specifically educational sectors).
■ Mitigation Steps
1. Configure EDR/AV to monitor and block suspicious VBScript execution and unauthorized DLL loading.
2. Educate users on the risks of double-extension files and suspicious archives.
3. Monitor network traffic for potential C2 communication associated with this actor.
■ Reference
- Seqrite Technical Report
Priority: High
Deadline: Immediate