C
月内に
中国系APTグループ「Silver Fox」が、Telegramの中国語言語パックを装った新種の悪性コードを配布しています
📌 一言でいうと
中国系APTグループ「Silver Fox」が、Telegramの中国語言語パックを装った新種の悪性コードを配布しています。この攻撃は6段階の複雑な感染チェーン、DLLサイドローディング、およびカーネルルートキット(wnBios)を用いてセキュリティソフトを無効化し、システム権限を奪取します。C2サーバーとして香港のホスティングサーバーが利用されており、画面キャプチャや持続的なアクセス権の確保が行われます。
🏢影響範囲
中国語圏のユーザー、およびTelegramを利用する組織・個人
✅該当時の対応
不審なソースからのソフトウェアインストールを禁止し、C2サーバーIP(118.107.43.65)への通信を遮断すること。また、不審な圧縮ファイルの実行やDLLサイドローディングの兆候を監視することを推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なソフトウェアのインストールに関するご注意
お疲れさまです。情報システム担当です。
現在、有名なチャットアプリ「Telegram」の言語パックなどを装ったウイルスが配布されていることが確認されました。
ご協力をお願いしたいこと:
1. 公式サイト以外から提供されたソフトウェアや更新プログラムをインストールしないでください。
2. 知り合いから送られてきた不審な圧縮ファイルやリンクは開かないでください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
現在、有名なチャットアプリ「Telegram」の言語パックなどを装ったウイルスが配布されていることが確認されました。
ご協力をお願いしたいこと:
1. 公式サイト以外から提供されたソフトウェアや更新プログラムをインストールしないでください。
2. 知り合いから送られてきた不審な圧縮ファイルやリンクは開かないでください。
対応期限: 本日中
Subject: [Security Alert] Caution Regarding Suspicious Software Installations
Dear employees,
It has been reported that malware is being distributed disguised as language packs for the chat application 'Telegram'.
Requested Actions:
1. Do not install any software or updates from unofficial sources.
2. Do not open suspicious compressed files or links, even if sent by known contacts.
Deadline: Immediate
Dear employees,
It has been reported that malware is being distributed disguised as language packs for the chat application 'Telegram'.
Requested Actions:
1. Do not install any software or updates from unofficial sources.
2. Do not open suspicious compressed files or links, even if sent by known contacts.
Deadline: Immediate
件名: 【共有】Silver FoxによるValleyRAT配布キャンペーンへの対応について
お疲れさまです。Silver Foxによる新種の攻撃キャンペーンに関する情報共有です。
■ 概要
Telegramの言語パックを装ったMSIファイルから、ValleyRATおよびカーネルルートキット(wnBios)を感染させる攻撃です。DLLサイドローディングを用いてセキュリティ製品を回避し、カーネルレベルで権限を奪取します。
■ 影響範囲
- Telegramを利用し、不審な言語パック等をインストールした端末
■ 対応手順
1. C2サーバーIP (118.107.43.65) への通信をファイアウォールで遮断してください。
2. 端末内での不審なDLLロードおよびカーネルドライバのロード履歴を確認してください。
3. ユーザーに対し、非公式ソースからのインストーラー実行を禁止する周知を行ってください。
■ 参考情報
- MalwareBazaar (CNGaoLing report)
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Silver Foxによる新種の攻撃キャンペーンに関する情報共有です。
■ 概要
Telegramの言語パックを装ったMSIファイルから、ValleyRATおよびカーネルルートキット(wnBios)を感染させる攻撃です。DLLサイドローディングを用いてセキュリティ製品を回避し、カーネルレベルで権限を奪取します。
■ 影響範囲
- Telegramを利用し、不審な言語パック等をインストールした端末
■ 対応手順
1. C2サーバーIP (118.107.43.65) への通信をファイアウォールで遮断してください。
2. 端末内での不審なDLLロードおよびカーネルドライバのロード履歴を確認してください。
3. ユーザーに対し、非公式ソースからのインストーラー実行を禁止する周知を行ってください。
■ 参考情報
- MalwareBazaar (CNGaoLing report)
対応優先度: 高
対応期限: 速やかに
Subject: [Threat Intel] Silver Fox ValleyRAT Campaign Response
Dear Security Team,
This is a technical update regarding a new campaign by the Silver Fox APT group.
■ Overview
Attackers are distributing ValleyRAT via MSI files disguised as Telegram language packs. The chain involves a 6-stage process, DLL side-loading to bypass AV/EDR, and the deployment of the wnBios kernel rootkit to disable security tools.
■ Scope
- Systems running Telegram or users susceptible to social engineering via language packs.
■ Mitigation Steps
1. Block communication to the C2 IP: 118.107.43.65.
2. Monitor for unauthorized kernel driver loads and suspicious DLL side-loading activities.
3. Enforce policies against executing installers from untrusted sources.
■ Reference
- MalwareBazaar (CNGaoLing report)
Priority: High
Deadline: Immediate
Dear Security Team,
This is a technical update regarding a new campaign by the Silver Fox APT group.
■ Overview
Attackers are distributing ValleyRAT via MSI files disguised as Telegram language packs. The chain involves a 6-stage process, DLL side-loading to bypass AV/EDR, and the deployment of the wnBios kernel rootkit to disable security tools.
■ Scope
- Systems running Telegram or users susceptible to social engineering via language packs.
■ Mitigation Steps
1. Block communication to the C2 IP: 118.107.43.65.
2. Monitor for unauthorized kernel driver loads and suspicious DLL side-loading activities.
3. Enforce policies against executing installers from untrusted sources.
■ Reference
- MalwareBazaar (CNGaoLing report)
Priority: High
Deadline: Immediate