China

2024年7月末から始まった一連の標的型サイバー攻撃は、ロシアの政府組織やIT企業で使用されている数十のシステムを標的としており、APT31およびAPT27グループの中国人ハッカーに関連している。

この活動を発見した Kaspersky は、このキャンペーンを「EastWind」と名付け、2024年5月に同じくロシア政府機関を標的とした同様のサイバー攻撃キャンペーンで発見されたCloudSorcerer バックドアの更新版を採用していると報告している。

Proofpointは、2024年5月に米国を拠点とするシンクタンクを標的とした攻撃を記録しているため、CloudSorcererの活動はロシアに限定されていないことに留意すべきである。

EastWind ツールキット

最初の感染は、ターゲットの名前が付けられたRARアーカイブの添付ファイルを運ぶフィッシングメールに依存しており、DLLサイドローディングを採用して、欺瞞のためのドキュメントを開きながら、Dropboxからシステムにバックドアをドロップします。

バックドアは、ファイルシステムのナビゲート、コマンドの実行、データの流出、または侵害されたマシン上の追加のペイロードの導入を行うことができます。

カスペルスキーの観測によると、攻撃者はこのバックドアを使用して、APT31に関連する「GrewApacha」というトロイの木馬を導入していました。

GrewApachaの最新の亜種は、1つではなく2つのコマンドサーバを使用し、マルウェアがそれを読み取るGitHubプロファイル上のbase64エンコードされた文字列にアドレスを格納するなど、2023年に分析された最後のバージョンと比較していくつかの改良が施されています。

C2 address "hidden" in public profiles
公開プロフィールに「隠された」C2アドレス
出典:Kaspersky:カスペルスキー

バックドアによってロードされるもう1つのマルウェアは、回避のためにVMProtectを搭載したCloudSorcererのリフレッシュバージョンだ。

CloudSorcererは、被害者のマシンに関連付けられた独自のキー生成プロセスを採用することで、標的以外のシステム上での実行を防ぐように設計された暗号化保護メカニズムを使用しています。

実行時に、ユーティリティ (GetKey.exe) がシステムの現在の状態から一意の 4 バイトの番号を生成し、Windows CryptProtectData 関数を使用して暗号化することで、一意の、システムにバインドされた暗号文を導き出します。

マルウェアの実行が他のマシンで試みられた場合、生成されたキーは異なるため、CloudSorcerer ペイロードの復号化は失敗します。

Main GetKey function
主な GetKey 関数
ソース:カスペルスキー

CloudSorcererの新バージョンでは、最初のC2アドレスを取得するために公開プロフィールページも使用していますが、現在ではこの目的のために、GitHubからQuoraとロシアのソーシャルメディアネットワークLiveJournalを使用するように切り替わっています。

EastWindの攻撃で見られた3つ目のインプラントは、CloudSorceredを通じて導入された、これまで知られていなかったバックドアであるPlugYです。

PlugYの特徴は、C2通信における高い汎用性と、ファイル操作、シェルコマンド実行、画面キャプチャ、キーロギング、クリップボード監視などのコマンド実行能力です。

カスペルスキーの分析によると、PlugY で使用されているコードは、以前にも APT27 脅威グループによる攻撃で確認されています。

また、UDPプロトコルを介したC2通信に使用されるライブラリは、DRBControlとPlugXにのみ含まれており、これらは中国の脅威アクターによって広く使用されているマルウェアツールです。

Code similarities between DRBControl (left) and PlugY (right)
DRBControl(左)とPlugY(右)のコードの類似性
出典:Kaspersky:カスペルスキー

カスペルスキーは、EastWindの攻撃で使用されているバックドアは著しく異なるため、侵害されたマシン上でそれらをすべて検出することは困難であるとコメントしています。注意すべき点は以下の通り:

  • C:∕UsersersPublic’ ディレクトリにある 5MB 以上の DLL ファイル
  • ファイルシステム内の署名されていない「msedgeupdate.dll」ファイル
  • ログインしているユーザーごとに「msiexec.exe」という名前のプロセスが実行されていること

ロシアのサイバーセキュリティ企業は、APT27とAPT31がEastWindで連携している可能性が高いと結論づけています。

このケースは、強い外交関係と共通の戦略目標を持ちながら、互いに活発なサイバースパイ活動を行っている同盟国間の複雑な相互作用を浮き彫りにしています。

経済、安全保障、軍事分野での連携は、影で活動する諜報機関が貴重な情報を収集するために洗練された狭いターゲットのスパイ活動を開始することを排除するものではない。