Last Updated on 2024-07-07 05:20 by 門倉 朋宏
サイバーセキュリティ研究者たちは、中国に関連するBlackTechハッキンググループがアジア太平洋地域を標的としたサイバースパイ活動の一環として、Deuterbearと呼ばれるリモートアクセストロイの木馬(RAT)を使用していることを明らかにしました。Deuterbearは、シェルコードプラグインのサポート、RAT操作のためのハンドシェイク回避、HTTPSを用いたC&C(コマンド&コントロール)通信など、多くの点でWaterbearに似ていますが、機能の面で進化しています。BlackTechは2007年以降に活動を開始し、様々な名前で知られています。このグループによるサイバー攻撃は、約15年間にわたりWaterbearマルウェアの展開を含んできましたが、2022年10月以降のキャンペーンでは、更新されたバージョンのDeuterbearも使用されています。
Deuterbearの感染経路はWaterbearと似ており、RATバックドアコンポーネントをインストールするために2段階を実装していますが、いくつかの点で調整が加えられています。最初の段階では、ローダーがダウンローダーを起動し、C&Cサーバーに接続してDeuterbear RATを取得し、DLLサイドローディングを介して2段階目のローダーによる永続性の確立を行います。このローダーは最終的にダウンローダーを実行し、再びC&CサーバーからDeuterbear RATをダウンロードして情報窃取を行います。感染システムの大部分では、第二段階のDeuterbearのみが存在し、第一段階のDeuterbearの全コンポーネントは「永続性インストール」が完了すると完全に削除されます。
一方、Proofpointは、米国内の人工知能に関わる組織を標的とした「非常にターゲットを絞った」サイバーキャンペーンを詳細に報告しました。このキャンペーンでは、SugarGh0st RATと呼ばれるマルウェアが配信されています。SugarGh0st RATは、中国語を話す脅威アクターによって一般的に使用される古いコモディティトロイの木馬であるGh0st RATのカスタマイズされたバリアントです。このキャンペーンは、米国の人工知能組織に直接関連する10人未満の個人を標的としているようです。攻撃の最終目的は明らかではありませんが、生成型人工知能(GenAI)に関する非公開情報の窃取が試みである可能性が疑われています。また、米国のエンティティを標的とすることは、米国政府がOpenAI、Google DeepMind、Anthropicなどの企業からのGenAIツールへの中国のアクセスを制限しようとしているというニュース報道と一致しています。
【ニュース解説】
中国に関連するハッキンググループであるBlackTechが、アジア太平洋地域を対象としたサイバースパイ活動の一環として、Deuterbearというリモートアクセストロイの木馬(RAT)を使用していることがサイバーセキュリティ研究者によって明らかにされました。Deuterbearは、従来のWaterbearマルウェアの進化形であり、シェルコードプラグインのサポート、RAT操作のためのハンドシェイク回避、HTTPSを用いたコマンド&コントロール(C&C)通信など、機能面での進化が見られます。このグループは2007年以降に活動を開始し、これまでにも様々な名前で知られていますが、特にWaterbearマルウェアを約15年間にわたり使用してきました。しかし、2022年10月以降のキャンペーンでは、更新されたバージョンのDeuterbearも使用されています。
Deuterbearの感染経路は、2段階にわたるインストールプロセスを採用しており、これによりRATバックドアコンポーネントがインストールされます。このプロセスは、感染システムにおいて、攻撃者がトラックを隠し、マルウェアの分析を困難にすることを目的としています。特に、第一段階のコンポーネントは「永続性インストール」が完了すると完全に削除されるため、感染システムの大部分では第二段階のDeuterbearのみが存在します。
一方、Proofpointは、米国内の人工知能に関わる組織を標的とした非常にターゲットを絞ったサイバーキャンペーンについて報告しています。このキャンペーンでは、SugarGh0st RATと呼ばれるマルウェアが配信されており、これはGh0st RATのカスタマイズされたバリアントです。攻撃の最終目的は明らかではありませんが、生成型人工知能(GenAI)に関する非公開情報の窃取が試みである可能性が疑われています。
これらの攻撃は、サイバーセキュリティの脅威がますます高度化していることを示しています。特に、Deuterbearのようなマルウェアは、攻撃者が長期間にわたって標的のシステムに潜伏し、重要な情報を盗み出す能力を持っています。また、SugarGh0st RATを用いた攻撃は、特定の高価値目標に対する非常に精密な攻撃戦略を示しており、人工知能技術に関する情報が新たな標的となっていることを示唆しています。
これらの攻撃から得られる教訓は、組織がサイバーセキュリティ対策を強化し、特に重要な情報を保持するシステムに対しては、定期的な監視と分析を行うことの重要性です。また、攻撃者が利用する可能性のある新しい技術や手法に対する警戒を怠らないことが求められます。サイバーセキュリティは常に進化する分野であり、攻撃者との間の継続的な競争が続いています。
from China-Linked Hackers Adopt Two-Stage Infection Tactic to Deploy Deuterbear RAT.
