DEAD#VAXキャンペーンがIPFSと難読化を悪用しAsyncRATを配信

高度なDEAD#VAXマルウェアキャンペーンがAsyncRATで組織を標的に

セキュリティ研究者は、DEAD#VAXと呼ばれるステルス性の高いマルウェアキャンペーンを発見した。このキャンペーンは、IPFSにホストされたVHDファイル、高度なスクリプト難読化、およびメモリ内実行を組み合わせ、従来のセキュリティ防御を回避し、AsyncRAT（リモートアクセストロjan）を展開する。このキャンペーンは、巧妙な攻撃手法と正規システム機能の悪用により、検出を回避する特徴を持つ。

攻撃チェーンの技術的詳細

DEAD#VAXキャンペーンは、複数の回避技術を駆使して検出を困難にしている。

• IPFSホストの悪意あるペイロード：攻撃者は、**InterPlanetary File System（IPFS）**と呼ばれる分散型ストレージネットワークを利用し、Virtual Hard Disk（VHD）ファイルを配信する。IPFSの分散型構造により、テイクダウンが困難となっている。
• 極度のスクリプト難読化：攻撃者は、悪意あるコードを隠蔽するために高度に難読化されたスクリプトを使用し、静的解析を困難にしている。
• ランタイム復号とメモリ内実行：マルウェアのコンポーネントは、実行時に復号され、メモリ内で実行されるため、ディスクベースの検出メカニズムを回避する。
• AsyncRATの展開：最終的なペイロードは、AsyncRATと呼ばれるオープンソースのRATで、リモートコントロール、データ流出、永続化が可能である。

影響と検出の課題

悪意あるファイルのホスティングにIPFSを利用することで、従来のドメインベースのブロック手法が無効化されるため、防御側にとって大きな課題となっている。さらに、このキャンペーンはメモリ内実行と難読化に依存しているため、エンドポイント検出および対応（EDR）ソリューションによる悪意ある活動の特定が困難となっている。

セキュリティチームは以下の兆候に注意する必要がある。

• IPFSゲートウェイからの不審なVHDファイルのダウンロード
• 不審なPowerShellまたはスクリプトベースの実行
• 既知のAsyncRATコマンドアンドコントロール（C2）サーバーへのネットワーク接続

緩和策と対応に関する推奨事項

組織は以下の対策を実施することでリスクを軽減できる。

• IPFSゲートウェイへのアクセス制限：明示的に必要でない限り、既知のIPFSゲートウェイへのアクセスをブロックまたは監視する。
• スクリプト監視の強化：難読化されたスクリプトやメモリ内実行を検出するための高度な振る舞い分析を導入する。
• エンドポイント保護：AsyncRATや同様のRATを検出できるようにEDR/XDRソリューションを設定する。
• ユーザー啓発トレーニング：特にVHDなどの不審なファイルタイプを含むフィッシングリスクについて従業員を教育する。

研究者は、追加の侵害指標（IOC）についてキャンペーンの分析を続けている。セキュリティチームは、新たな脅威に関する最新情報を常に把握し、防御策を適宜調整することが推奨される。