サイバーセキュリティ企業 Volexity の新たな調査により、StormBamboo という中国語を話すサイバースパイ脅威アクターが展開した非常に洗練された攻撃の詳細が明らかになった。
脅威アクターはISPに侵入し、正規のソフトウェアアップデートを要求するシステムからのクエリに対するDNS応答の一部を改ざんしました。複数のソフトウェアベンダーが標的となりました。改ざんされた応答により、StormBambooは正規のアップデートファイルに加えて、悪意のあるペイロードを配信するようになりました。ペイロードはmacOSとMicrosoft Windowsの両方のオペレーティングシステムを標的としていました。
StormBamboo とは誰ですか?
StormBamboo(別名Evasive Panda、Daggerfly、Bronze Highland)は、少なくとも2012年から活動している、中国と連携したサイバースパイ活動を行う脅威アクターです。この中国語圏のグループは、世界中で中国の利益に合致する多くの組織を標的にしてきました。
このグループは長年にわたり、中国本土、香港、マカオ、ナイジェリアの個人を標的にしてきました。さらに、東南アジア、東アジア、米国、インド、オーストラリアの政府を含む団体も標的にしています。
このグループは、正規のインフラを侵害し、Microsoft WindowsおよびmacOSオペレーティングシステム向けに開発されたカスタムマルウェアを標的に感染させてきた長い歴史を持っています。また、特定のウェブサイトを侵害し、訪問者を標的にしてマルウェアに感染させるウォーターホール型攻撃も展開しています。
StormBamboo は、ソフトウェア プラットフォームを侵害するなどのサプライ チェーン攻撃を実行し、ユーザーに密かにマルウェアを感染させることもできます。
このグループは Android ユーザーをターゲットにすることも可能です。
ISPが侵害され、DNS応答が改ざんされる
脅威アクターは標的のISPインフラに侵入し、そのISPのDNSサーバーからのDNSレスポンスを制御することに成功しました。DNSレスポンスは主にドメイン名をIPアドレスに変換し、正しいウェブサイトに誘導するものです。サーバーを制御する攻撃者は、コンピュータに攻撃者が制御するIPアドレスに特定のドメイン名をリクエストさせることが可能です。StormBambooはまさにこれを行いました。
このグループがどのようにして ISP に侵入したかは不明だが、Volexity は ISP が再起動し、ネットワークのさまざまなコンポーネントをオフラインにしたことで、DNS ポイズニング攻撃が直ちに停止したと報告している。
攻撃者は、いくつかの異なる正当なアプリケーション更新 Web サイトの DNS 応答を変更することを目的としていました。
参照:企業がDNSセキュリティ拡張機能の実装を検討すべき理由
Volexity の脅威研究者であり、この出版物の著者でもあるポール・ラスカニエレス氏は、TechRepublic との書面インタビューで、脅威アクターがどのようにして ISP を選んだのかは正確には分からないと語った。
「攻撃者は被害者のISPを特定するために何らかの調査や偵察を行った可能性が高い」と彼は記している。「他のISPが侵害されているかどうかは不明だ。外部から特定するのは困難だ。StormBambooは攻撃的な脅威アクターだ。もしこの動作モードが成功すれば、他のISPでも同様の攻撃を仕掛け、標的を絞り込む可能性がある」
正当な更新メカニズムが悪用されている
この攻撃では複数のソフトウェアベンダーが標的となりました。
ユーザーからの DNS リクエストが侵害された DNS サーバーに送信されると、攻撃者が制御する IP アドレスで応答し、ソフトウェアの実際の更新が配信されますが、その内容は攻撃者のペイロードです。
Volexity のレポートでは、安全でない更新ワークフローを使用している複数のソフトウェア ベンダーが懸念を示しており、5KPlayer というソフトウェアを例に挙げています。
このソフトウェアは起動するたびに「YoutubeDL」のアップデートをチェックします。このチェックは、新しいバージョンが利用可能かどうかを示す設定ファイルを要求することで行われます。新しいバージョンが利用可能であれば、特定のURLからダウンロードされ、正規のアプリケーションによって実行されます。
しかし、侵害された ISP の DNS は、アプリケーションを変更された構成ファイルに導きます。これは、更新があることを示しますが、バックドアが仕込まれた YoutubeDL パッケージを配信します。
悪意のあるペイロードは、アップデートを要求するオペレーティングシステムに応じて、MACMAまたはPOCOSTICK/MGBotマルウェアを含むPNGファイルです。MACMAはMacOSに感染し、POCOSTICK/MGBotはMicrosoft Windowsオペレーティングシステムに感染します。
悪意のあるペイロード
POCOSTICK(別名MGBot)は、ESETによると、StormBambooによって開発されたカスタムマルウェアである可能性があります。他のグループによって使用されたことはないようです。このマルウェアは2012年から存在しており、キーロギング、ファイル窃取、クリップボード傍受、音声ストリームのキャプチャ、Cookie、および認証情報の窃取を可能にする複数のモジュールで構成されています。
一方、MACMAはキーロギング、被害者デバイスのフィンガープリンティング、画面および音声キャプチャを可能にします。また、攻撃者にコマンドラインを提供し、ファイル窃取機能も備えています。Googleは2021年に、水飲み場型攻撃を用いて展開されるMACMAマルウェアの存在を初めて報告しました。
Googleによると、Googleへの攻撃は特定の脅威アクターによるものとはされていないものの、香港のメディアや著名な民主化運動の労働・政治団体のウェブサイト訪問者を標的としていた。この攻撃はStormBambooの標的設定と一致している。
Volexity はまた、最新の MACMA バージョンと、StormCloud 脅威アクターが使用する別のマルウェア ファミリである GIMMICK との間に、顕著なコードの類似性があることにも気付きました。
最後に、あるケースでは、被害者のmacOSデバイスが侵害された後、Volexityは攻撃者が悪意のあるGoogle Chrome拡張機能を展開したことを確認しました。この難読化されたコードにより、攻撃者はブラウザのCookieを攻撃者が管理するGoogle Driveアカウントに流出させることができました。
ソフトウェアベンダーはどのようにしてユーザーをサイバー脅威から保護できるのでしょうか?
ラスカニェレス氏はTechRepublicに対し、Volexityは5k Player、Quick Heal、Sogou、Rainmeter、Partition Wizard、Corelといったさまざまなソフトウェアから、標的型で安全でない更新メカニズムをいくつか特定したと語った。
ソフトウェアベンダーレベルで更新メカニズムをどのように保護し、改善すべきかという質問に対し、研究者は「ソフトウェア開発者はHTTPS更新メカニズムを強制し、更新をダウンロードするウェブサイトのSSL証明書を確認すべきです。さらに、更新に署名し、実行前にその署名を確認すべきです」と主張しています。
Volexity は、企業が自社のシステム上で StormBamboo の活動を検出できるように、さまざまなペイロードを検出するための YARA ルールを提供し、同社が提供する侵害の兆候をブロックすることを推奨しています。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
