Chinese hackers use new data theft malware in govt attacks

中国を拠点とするサイバースパイグループMustang Pandaに起因する新たな攻撃は、脅威行為者が侵入したネットワークからペイロードをダウンロードし情報を盗むために、新たな戦略とFDMTPおよびPTSOCKETと呼ばれるマルウェアに切り替えたことを示している。

研究者は、ハッカーがネットワーク上のリムーバブルドライブを通じてPUBLOADマルウェアステージャーを配信するためにHIUPANワームの亜種を使用していることを発見した。

Mustang Panda(別名:HoneyMyte/Broze President/Earth Preta/Polaris/Stately Taurus)は、中国国家を後ろ盾とするハッカー集団で、主にアジア太平洋地域の政府や非政府組織に対するサイバースパイ活動に注力していますが、その他の地域の組織も標的の範囲に含まれています。

ワームベースの攻撃チェーン

Mustang Pandaは通常、スピアフィッシング・メールを最初のアクセス・ベクトルとして使用するが、本日発表されたレポートの中で、サイバーセキュリティ企業Trend Microの研究者は、この脅威主体からの新たな攻撃は、HIUPANワームの亜種に感染したリムーバブル・ドライブを通じてネットワーク上にPUBLOADを拡散させると述べている。

HIUPAN infection and spread
HIUPANの感染と拡散
ソースはこちら:トレンドマイクロ

HIUPANは、すべてのファイルを隠しディレクトリに移動することでその存在を隠し、一見正規のファイル(「USBConfig.exe」)だけをドライブ上に残してユーザーを騙して実行させます。

PUBLOAD は、攻撃における主要な制御ツールです。DLLのサイドローディングを通じてシステム上で実行され、Windowsレジストリを変更することで永続性を確立し、偵察に特化したコマンドを実行してネットワークをマッピングする。

PUBLOADとは別に、脅威者はFDMTPという新しいマルウェアを使用しており、これは二次的な制御ツールとして機能する。研究者によると、FDMTPはDLLのデータセクションに埋め込まれており、DLLサイドローディングによって展開することも可能だという。

研究者によると、最近のMustang Panda攻撃におけるデータ収集は、RARアーカイブで行われ、指定された切断日からの.DOC、.DOCX、.XLS、.XLSX、.PDF、.PPT、および.PPTXファイルを標的としています。

脅威者は、cURLツールを使用してPUBLOADを通じて情報を流出させます。しかし、DMTP上のTouchSocketに基づいて実装されたカスタムPTSOCKETファイル転送ツールという代替手段も存在する。

Overview of PUBLOAD's infection chain and operation
PUBLOADの感染チェーンと動作の概要
出典:トレンドマイクロ:トレンドマイクロ

6月のスピアフィッシングキャンペーン

6月、研究者はMustang Pandaから、おとり文書を取得するDOWNBAITダウンローダーと、メモリ内で実行されるPULLBAITマルウェアを配信する「速いペースのスピアフィッシングキャンペーン」を観測しました。

次に攻撃者は、アラームの作動を回避するためにデジタル署名されたCBROVERと呼ばれる第一段階のバックドアを取得し実行します。

DOWNBAIT's certificate helping evade AV detection
AVの検出を回避するDOWNBAITの証明書
出典:Trend Micro:トレンドマイクロ

Mustang Pandaは、PLUGXを使用して、.DOC、.XLS、.PDF、.DWG、.PPTX、.DOCXのような文書ファイルを収集し、それらを流出させるツールである「FILESAC」のような他のツールを導入することが観察された。

トレンドマイクロは、Microsoft OneDriveを悪用した別の流出方法がある可能性が高いと指摘しているが、研究者はこの作業に使用されるツールを見つけることができなかった。この脅威グループは、以前にもGoogle Driveを悪用して政府機関のネットワークにマルウェアを侵入させていることが確認されている。

Overview of the spear-phishing infection chain
スピアフィッシング感染チェーンの概要
出典:トレンドマイクロトレンドマイクロ

トレンドマイクロの研究者によると、同社がEarth Pretaとして追跡しているMustang Pandaは、「マルウェアの展開と戦略、特に政府機関を標的としたキャンペーン」(APAC地域の軍、警察、外務機関、福祉、行政府、教育機関など)において大きく前進しているという。

彼らは、脅威の主体がこの地域で非常に活発な活動を続けており、新たな手口は、”高度に標的化され、一刻を争う作戦 “に注力していることを示していると指摘している。

Mustang Pandaの最新のキャンペーンに関連する侵害の指標(IoC)の完全なリストは、ここで入手可能です。