トレンドマイクロは、中国のギャンブルサイト利用者を狙った攻撃で、新たなRAT型不正プログラム「BIOPASS」を発見しました。
BIOPASSは、OBS Studioソフトウェアを使用し、被害者の画面を攻撃者に配信する機能を持っています。
BIOPASSと中国のスパイグループであるWinnti/APT41との間の関連性が認められており、「BIOPASS」は、Pythonでコーディングされたリモートアクセストロイの木馬(RAT)で、中国のオンラインギャンブル企業を狙った最近の攻撃で発見されました。
セキュリティ企業のトレンドマイクロ社が発見したこのRATは、Adobe Flash PlayerやMicrosoft Silverlightの正規のインストーラーに紛れ込んでいます。
発表された報告書によると、中国のギャンブル関連サイトの技術/チャットサポートページに攻撃者が仕込んだ悪質なJavaScriptコードが、被害者となるユーザーに偽装されたインストーラーを提供するページにリダイレクトされていました。
悪意のあるFlashおよびSilverlightアプリをインストールすると、正規のソフトウェアがインストールされますが、同時にBIOPASS RATがインストールされ、攻撃者がシステムを完全に制御できるようになっていました。
BIOPASS RATは、ファイルシステムの評価、リモートデスクトップアクセス、ファイルの搾取、シェルコマンドの実行など、他のマルウェアに見られる基本的な機能を備えています。また、ウェブブラウザやインスタントメッセージングのクライアントデータを盗むことで、被害者の個人情報を危険にさらす機能も備えています。
BIOPASSは、他のRATと同じように見えますが、他の不正プログラムには見られない新しい機能を備えています。
トレンドマイクロ社によると、攻撃者はOBS StudioのRTMP(Real-Time Messaging Protocol)ストリーミング機能を使用してユーザーの画面を録画し、攻撃者のコントロールパネルに送信します。
トレンドマイクロ社によると、BIOPASSマルウェアをWinntiまたはAPT41と呼ばれる中国の国家支援型ハッカーグループに関連付けるいくつかの手がかりが見つかったとのことです。
APT41は、通常の勤務時間中にサイバースパイ活動を行い、その後、個人的な利益を得るために東南アジア中のオンラインゲーム会社に対して金銭的動機に基づく攻撃を行うことが知られています。
BIOPASSの多くの機能が、中国本土で一般的に使用されているウェブブラウザやインスタントメッセンジャーをターゲットにして個人情報を盗むために実装されていました。
これは、この活動が中国国内の企業をターゲットにしたものであることを示唆しています。
Comments