Cisco Talos Intelligence Group は、特にヨーロッパを狙った、Bronze President、RedDelta、HoneyMyte、TA416、Red Lich としても知られる悪名高いサイバースパイ脅威アクター Mustang Panda による新たな攻撃キャンペーンを報告しました。
参照:モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
マスタングパンダとは誰ですか?
この脅威グループはサイバースパイ活動に特化しており、中国を拠点としています。少なくとも2012年以降、世界中の企業や組織を標的としており、その中には米国の組織も含まれています。これまでに、シンクタンク、NGO、政府機関などが標的となっています。
2022年3月、ESETは、これまで文書化されていなかったPlugXの亜種を使用したMustang Pandaに関するレポートを公開しました。PlugXは、脅威の攻撃者が長年使用してきたRATマルウェアであり、ウクライナとロシアの戦争に関連するフィッシング文書によって拡散されています。
最初の妥協
脅威アクターの TTP (戦術、技術、手順) は時間の経過とともにほとんど変化しておらず、スピアフィッシングによって引き起こされる最初の感染、それに続くマルウェアの展開と横方向の移動で構成されています。
この新たな攻撃キャンペーンでは、Mustang Panda は、欧州連合理事会の事務総長からの報告書を偽装した PlugX (KorPlug とも呼ばれる) マルウェアの亜種を含むスピアフィッシング メールを送信します (図 A )。
図A
ウクライナとロシアの情勢は、2022年2月と3月にマスタングパンダによって利用されました。2月末のルアーは、ウクライナとのヨーロッパ国境沿いの状況報告を装っていましたが、3月の別のルアーは、ベラルーシとのヨーロッパ国境沿いの状況報告を装っていました。
Talosによると、米国の組織を標的とする場合、Mustang Pandaは2021年12月の「米国務次官補のASEAN諸国訪問.rar」や「ミャンマー情勢に対するバイデンの姿勢.zip」など、関心が重複するトピックを利用していた。
送信されるスピアフィッシング コンテンツは、オンラインで取得するダウンローダーを含むアーカイブ ファイルで構成されています。
- おとりPDF文書。この文書は無害であり、アーカイブを開くことを正当化し、ユーザーに疑念を抱かせないようにコンテンツを提供するためだけに存在します。
- DLLサイドローディングを介して悪意のあるペイロードをロードする無害な実行ファイル
- 無害な実行可能ファイルを起動したときにトリガーされる悪意のあるペイロードである DLL ファイル。
- 最終的なペイロード ファイル、つまり PlugX RAT。
最初の実行ファイルが起動されると、感染フローはいくつかのステップで構成されます (図 B )。
図B
プラグXラット
PlugX RAT(別名KorPlug)は、Mustang Pandaが好んで利用するマルウェアです。この脅威アクターは、中国を拠点とする他の脅威アクターと共に、数年にわたりこのマルウェアの様々な亜種を使用してきました。このマルウェアのソースコードはこれまで公開されておらず、中国を拠点とする脅威アクターによってのみ使用されているようです。
しかし、2022年3月末にPlugXの感染チェーンが変化しました。ダウンローダーは、あるURLからおとり文書をダウンロードし、別のURLを使用して、無害な実行ファイル、DLLファイル、そして最終的なPlugXペイロードをダウンロードするようになりました。
マルウェア感染の増加
Mustang Panda はまた別の感染手法も使用しており、今回はスピアフィッシング メールで送信されたアーカイブ ファイルには実行可能ファイルと、埋め込まれたシェルコードをデコードする DLL ファイルが含まれており、これにより C2 IP アドレスから追加のシェルコードがダウンロードされて実行されます。
感染が完了すると、インプラントは感染したマシンから情報を収集し、それを暗号化して C2 サーバーに送信します。
- ボリュームシリアル番号
- コンピュータ名
- ユーザー名と長さ
- ホストの稼働時間
次に、シェルコードは C2 サーバーに接続して、感染したマシンで実行される追加のシェルコードを取得しようとします。
Mustang Pandaが使用する別の悪意のあるファイルは、感染したコンピュータにローカルでバインドし、ハードコードされたC2サーバーのIPアドレスからのリクエストをリッスンします。このIPアドレスから受信したシェルコードはすべて実行されます。
Mustang Panda は、自分自身からコンテンツを抽出し、それを BAT ファイルとして実行するコマンドを含む LNK ファイルも使用します (図 C )。
図C
その後、BATファイルは、コンピュータ上の正規のwscript.exeを介して実行されるJavaScriptコードを実行します。このコードはDLLベースのステージャーを抽出して起動し、感染を完了させ、永続性を確立します。
Mustang Panda は、Meterpreter リバース HTTP ペイロードを使用して他のペイロードをダウンロードし、実行します。
最後に、2022年2月下旬、マスタングパンダは、「Офіційна заява Апарату РНБО України\Про введення в дію плану оборони」というこれまで未公開だったウクライナをテーマにしたルアーを使用しました。 Talos によれば、これは「ウクライナ国家安全保障・国防会議からの公式声明.exe」と大まかに翻訳できます。
この新たな感染フローは、正規のコマンドライン実行ファイル cmd.exe を使用するTCPプロトコルベースのリバースシェルDLLを利用していました。DLLは自身とそれを起動する実行ファイルをフォルダにコピーし、スケジュールされたタスクを介して永続化することで、リバースシェルが1分ごとに実行されるようにします。
常に進化する脅威アクター
Mustang Panda は長年にわたり、さまざまな亜種を通じて PlugX/KorPlug マルウェアを多用してきましたが、さまざまなステージャー、スクリプト、リバース シェル、LNK ファイルを使用して、中間ペイロードの配信を継続的に更新および変更してきました。
この脅威から身を守る方法
Mustang Panda が標的のシステムに最初の足掛かりを築くために使用する方法は、常にスピアフィッシング メールを送信することです。
したがって、会社のメール サーバーに届くすべての受信メールにセキュリティ対策を導入することをお勧めします。
- 添付ファイルだけでなく、電子メール内のリンクにも重点を置いた電子メール分析ツールを導入します。
- 添付ファイルにマルウェアが含まれていないか確認してください。通常のマルウェアシグネチャ検出に加え、挙動検出機能を備えたサンドボックスシステムで添付ファイルを実行することをお勧めします。
- 実行可能ファイルを含む、電子メールで送信されたすべてのアーカイブ ファイルを体系的に分析します。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
