Researchers sinkhole PlugX malware server with 2.5 million unique IPs

研究者らは、PlugX マルウェアの亜種のコマンド・コントロール・サーバーをシンクホールし、ユニークな IP アドレスからの接続が半年間で 250 万回以上あったことを確認しました。

昨年9月以降、シンクホールサーバーは170カ国以上の感染ホストから毎日9万件以上のリクエストを受信していました。

セコイアが特定のC2に関連する固有のIPアドレスを捕捉した2023年9月以降、170カ国から249万5297を超える固有のIPがシンクホールとやり取りしていることを記録している。

これによりセコイアは、トラフィックの分析、感染マップの作成、クライアントの悪意のある搾取の防止、効果的な駆除プランの策定を行うことができました。

PlugXサーバーの制御

サイバーセキュリティ企業Sekoiaの研究者たちは、脅威の主体がもはや使用していないPlugXマルウェアの亜種のコマンド・アンド・コントロール(C2)サーバに対応するIPアドレス45.142.166[.]112を取得するために7ドルを費やしました。

このC2 IPアドレスは、2023年3月にソフォスから発表されたPlugXの新バージョンに関するレポートに記載されており、「互いにほぼ地球の裏側の場所」まで拡散していました。このマルウェアはすでにUSBデバイス上で自己拡散機能を獲得していた。

セコイアがホスティング会社に連絡し、IPの制御を要求した後、研究者たちはそのIPを使用したサーバーへのシェル・アクセスを取得しました。

元のC2サーバーの動作を模倣したシンプルなウェブサーバーをセットアップし、感染したホストからのHTTPリクエストをキャプチャして、フローの変動を観察することができた。

このシンクホール作戦により、毎日90,000から100,000のシステムがリクエストを送信しており、6ヶ月間で250万以上のユニークIPが世界中からサーバーに接続していることが判明しました。

Infections of the particular PlugX variant
特定のPlugX亜種の感染
Sekoia

このワームは170カ国に広がっているが、ナイジェリア、インド、中国、イラン、インドネシア、英国、イラク、米国を筆頭に、わずか15カ国で感染全体の80%以上を占めている。

研究者らは、sinkholed PlugX C2には固有の識別子がないため、感染したホストの数が信頼できないことを強調しています:

  • 多数の感染したワークステーションが同じIPアドレスから侵入する可能性がある。
  • 動的 IP アドレスのため、1 台の感染したシステムが複数の IP アドレスで接続する可能性がある。
  • 多くの接続がVPNサービスを経由しているため、接続元の国を特定することができない。

Sekoia氏によると、感染者の多くは中国のグローバル・インフラ開発戦略「Belt and Road Initiative(ベルト・アンド・ロード・イニシアチブ)」に参加している国々で確認されていることから、この被害状況は中国の戦略的関心を示している可能性があるという。

しかし、研究者は、この結論はもっともらしいが、”4年間の活動の後では、どこにでも広がる時間があったため、大目に見る必要がある “と指摘している。

Country percentages from the 100k active infections set
100kアクティブ感染セットからの国別パーセンテージ
Sekoia

PlugXは当初、中国を起源とする国家に支援された活動に関連していましたが、このマルウェアは長年にわたって一般的なツールとなり、さまざまな脅威アクターによって使用されるようになりました。

駆除の課題

セコイアは、シンクホールに到達したコンピュータを駆除するための2つの戦略を策定し、各国のサイバーセキュリティ・チームや法執行機関に駆除作業への参加を呼びかけている。

1つは、PlugXがサポートする自己削除コマンドを送信する方法です。

しかし、マルウェアがホストから駆除されたとしても、マルウェアはUSBデバイス上で拡散するため、再感染の危険性があり、この方法では駆除は不可能です。

より複雑な方法としては、カスタム・ペイロードを開発し、感染したマシンにインストールすることで、システムからだけでなく、感染したマシンに接続されたUSBドライブからもPlugXを除去することができます。

このサイバーセキュリティ企業は、他人のワークステーションにコマンドを送信することによる法的な複雑さを回避するため、「主権的駆除」を実行するために必要な情報を各国のCERTに提供することを申し出ている。

どのような方法であれ、セコイアは、すでにPlugXの影響を受けているエアギャップ・ネットワークは手の届かないところにあり、プラグインされていない感染したUSBメモリも同様であると指摘している。

セコイアの研究者によれば、PlugX のシンクホール版で構築されたボットネットは、マルウェアの運営者がもはやコントロールできないため、「死んだ」とみなすことができるという。

とはいえ、「傍受能力を持つ者」や「C2サーバーを制御できる者」であれば、感染したホストに任意のコマンドを送信することで、悪意のある目的で復活させることが可能です。

PlugXの背景

PlugXは少なくとも2008年以降、主に中国国家安全保障省に関連するグループによるスパイ活動やリモートアクセス作戦で使用されてきました。PlugXは複数の攻撃グループによって、政府、防衛、技術、政治などの組織を標的に、主にアジアで使用され、その後欧米でも使用されるようになりました。

時が経つにつれ、PlugXのビルダーが一般公開されるようになり、2015年頃にマルウェアのソースコードが流出したと考える研究者もいます。このような事実や、このツールが何度もアップデートを受けたことから、PlugXを特定の行為者やアジェンダに帰属させることは困難です。

このマルウェアは、コマンドの実行、ファイルのアップロードとダウンロード、キー入力のロギング、システム情報へのアクセスなど、広範な機能を備えています。

PlugXの最近の亜種は、ワーム可能なコンポーネントを備えており、USBメモリなどのリムーバブル・ドライブに感染することで自律的に拡散し、エアギャップされたシステムに到達する可能性があります。