シマンテックの研究者は、香港の政府機関に侵入し、 1 年間検出されなかった中国に関連するスパイ活動グループAPT41 (別名 Winnti) によるサイバー攻撃を発見しました。
脅威グループは、Spyder Loader と呼ばれるカスタム マルウェアを使用しています。
2022年5月、Cybereasonの研究者は、2019年から北米、東アジア、西ヨーロッパのハイテク企業や製造業を対象に行われていた「 Operation CuckooBees 」を発見しました。
Symantec のレポートによると、新たに発見された香港での活動は同じ作戦の一部である兆候があり、Winnti の標的は特別行政区の政府機関です。
スパイダーローダー
Operation CuckooBees では、Winnti は Spyder Loader バックドアの新しいバージョンを使用しています。 Symantec のレポートは、ハッカーがマルウェアを進化させ続け、すべて同じ機能を持ついくつかの亜種をターゲットに展開していることを示しています。
Cybereason が分析したバージョンと比較してシマンテックが発見した類似点には、次のようなものがあります。
- CryptoPP C++ ライブラリの使用
- マルウェア ローダーの実行のための rundll32.exe の悪用
- 悪意のあるエクスポート (sqlite3_extension_init) を使用して、SQLite データベースを管理するための SQLite3 DLL の 64 ビット DLL 修正コピーとしてコンパイルされた sqlite3.dll
感染の初期段階で使用される Spyder Loader は、次の段階のペイロード「wlbsctrl.dll」を作成する AES 暗号化Blobをロードします。
活動の目標
シマンテックのアナリストは、最新のキャンペーンで Mimikatz パスワード エクストラクタが展開されていることも確認しており、攻撃者が被害者のネットワークに深く入り込むことを可能にしています。
さらに、 研究者は「複数の悪意のあるエクスポートを持つトロイの木馬化された ZLib DLL を確認しました。そのうちの 1 つはコマンド アンド コントロール サーバーからの通信を待っているように見え、もう 1 つはコマンド ラインで指定されたファイル名からペイロードをロードしているように見えました。 」
シマンテックは最終的なペイロードを取得できませんでしたが、APT41 の最新のキャンペーンの目的は、香港の主要な組織から情報を収集することだったようです。
シマンテックは、Winnti が引き続きマルウェア ツールキットを進化させ、新しいペイロードを導入し、可能であれば難読化の機能を追加することを予測しています。
Comments