中国を拠点とし、Emperor Dragonflyとして追跡され、一般的にサイバー犯罪に関連している脅威行為者が、以前はスパイ行為者に起因するとされていたツールセットをランサムウェア攻撃で使用していることが確認された。
このハッカーは、アジアのソフトウェアおよびサービス企業に対してRA Worldランサムウェアを展開し、200万ドルの最初の身代金の支払いを要求しました。
シマンテックのスレットハンターチームの研究者は、2024年後半にこの活動を観察し、国家が支援するサイバースパイ行為者と金銭的動機に基づくサイバー犯罪グループとの重複の可能性を浮き彫りにしました。
“2024年後半の攻撃では、攻撃者は、以前に古典的なスパイ攻撃で中国に関連する行為者によって使用されていた明確なツールセットを展開した “と研究者は述べている。”中国ベースのスパイグループに関連するツールは、多くの場合、共有リソースである “が、”多くは一般に公開されておらず、通常はサイバー犯罪活動に関連付けられていない “と付け加えた。
パロアルトネットワークスのUnit 42が2024年7月に発表したレポートでも、信頼度は低いものの、Emperor Dragonfly (a.k.a. Bronze Starlight) とRA Worldが関連付けられています。研究者によると、RA Worldは2023年にBabukベースのファミリーとして発足したRA Groupからスピンアウトしたものです。
スパイ活動からランサムウェアへ
2024年7月から2025年1月にかけて、中国を拠点とするスパイ行為者は、東南ヨーロッパとアジアの政府省庁や電気通信事業者を標的とし、長期的な持続性を明らかに目標としていました。
これらの攻撃では、PlugX(Korplug)バックドアの特定の亜種が、悪意のあるDLL(toshdpapi.dll)と共に、DLLのサイドローディングを介して東芝の実行ファイル(toshdpdb.exe)と共に展開されました。
さらに、シマンテックは、秘密ネットワーク通信に使用される中国が開発したツールであるNPSプロキシと、さまざまなRC4暗号化ペイロードの使用を確認しました。
2024年11月には、同じKorplugペイロードが南アジアのソフトウェア会社に対して使用されました。この時は、RA Worldのランサムウェア攻撃が続きました。
攻撃者はPalo Alto PAN-OS(CVE-2024-0012)を悪用してネットワークに侵入し、東芝の実行ファイルとDLLファイルを含む同じサイドローディング手法に従ってKorplugを展開した後、マシンを暗号化したとされています。
入手可能な証拠に基づくと、スパイ攻撃を行う中国国家に支援されたサイバー工作員が、個人的な利益のためにランサムウェアの実行者として「副業」している可能性があるという仮説が立てられています。
シマンテックのレポートでは、被害が発生する前に防御者が攻撃を検知してブロックするのに役立つように、観測された活動に関連する侵害の指標(IoC)をリストアップしています。
Comments