FBI

米国司法省は本日、FBI が米国全土のネットワーク上の 4,200 台以上のコンピュータから中国製 PlugX マルウェアを削除したと発表しました。

このマルウェアは、中国のサイバースパイグループである Mustang Panda(Twill Typhoon としても追跡されています)によって制御されており、USB フラッシュドライブを通じて拡散することができるワーム可能なコンポーネントを備えた PlugX の亜種を使用して、数千台のシステムに感染しました。

法廷文書によると、このマルウェアを使用して標的とされた被害者のリストには、”2024年のヨーロッパの海運会社、2021年から2023年のいくつかのヨーロッパ政府、世界的な中国の反体制派グループ、インド太平洋全域の政府(台湾、香港、日本、韓国、モンゴル、インド、ミャンマー、インドネシア、フィリピン、タイ、ベトナム、パキスタンなど)”が含まれています。

「一度被害者のコンピュータに感染すると、このマルウェアは、コンピュータの起動時に PlugX アプリケーションを自動的に実行するレジストリ・キーを作成することによって、そのコンピュータに留まり続けます(持続性を維持します)「PlugXマルウェアに感染したコンピュータの所有者は、通常その感染に気づいていません。

この裁判所が承認した措置は、フランスの法執行機関とサイバーセキュリティ企業であるセコイアが主導する世界的なテイクダウン作戦の一環です。この作戦は2024年7月に開始され、フランスの警察とユーロポールがフランス国内の感染したデバイスからリモートアクセストロイヤンマルウェアを除去した。

「2024年8月、司法省とFBIはペンシルベニア州東部地区において、米国内のコンピュータからPlugXを削除することを許可する9つの令状のうち最初のものを取得しました

「これらの令状のうち最後のものは2025年1月3日に失効し、これにより米国での活動は終了しました。裁判所が許可したこの作戦により、合計で約4,258台の米国内のコンピュータとネットワークからPlugXマルウェアが削除されました。

FBIが感染したコンピュータに送信したコマンドは、PlugXマルウェアにこう伝えました:

  1. 被害者のコンピュータ上でPlugXマルウェアによって作成されたファイルを削除せよ、
  2. 被害者のコンピュータの起動時に PlugX アプリケーションを自動的に実行するために使用される PlugX レジストリ・キーを削除する、
  3. PlugX アプリケーションを停止した後に削除するための一時的なスクリプト・ファイルを作成する、
  4. PlugXアプリケーションを停止し
  5. 一時ファイルを実行してPlugXアプリケーションを削除し、PlugXマルウェアが被害者コンピュータに作成したPlugXファイルを保存するディレクトリを削除し、被害者コンピュータから一時ファイルを削除する。

FBIは現在、PlugX感染を駆除した米国内のコンピュータの所有者に対し、インターネット・サービス・プロバイダーを通じて通知を行っており、この措置は駆除されたデバイスから情報を収集したり、何らかの影響を与えたりするものではないとしています。

サイバーセキュリティ企業Sekoiaは以前、同じPlugX亜種に感染したデバイスのボットネットを発見し、2024年4月に45.142.166[.]112にあるコマンド・アンド・コントロール(C2)サーバーを制御していました。セコイアによると、このボットネットのC2サーバーは6ヶ月間にわたり、感染したホストから毎日最大100,000のpingを受信し、170カ国から2,500,000のユニークな接続があったとのことです。

PlugXは、少なくとも2008年以降、主に中国国家安全保障省に関連するグループによるサイバースパイ活動やリモートアクセス作戦で攻撃に利用されてきた。複数の脅威グループが、政府、防衛、技術、政治などの組織を標的に、主にアジアでPlugXを使用し、その後世界中に拡大しました。

PlugXの構築者の一部はオンライン上でも検出されており、一部のセキュリティ研究者は、このマルウェアのソースコードが2015年頃に流出したと考えています。このため、このマルウェアが開発され攻撃に使用されるようになった原因を、特定の脅威行為者や意図に求めることは非常に困難です。

PlugXマルウェアは、システム情報の収集、ファイルのアップロードとダウンロード、キー入力の記録、コマンドの実行など、広範な機能を備えています。