Last Updated on 2024-06-22 04:35 by 門倉 朋宏
中国語を話す未記載の脅威アクター「SneakyChef」が、2023年8月以降、アジアとEMEA(ヨーロッパ、中東、アフリカ)の政府機関を主な標的とするスパイ活動キャンペーンに関与していることが明らかになった。このキャンペーンでは、SugarGh0stマルウェアが使用されている。SneakyChefは、各国の外務省や大使館に関連する政府機関のスキャンされた文書を餌として使用している。2023年11月末にサイバーセキュリティ企業によって初めてこのハッキンググループの活動が指摘され、韓国とウズベキスタンを標的とする攻撃キャンペーンが特定された。その後の分析で、SugarGh0st RATが人工知能に関連する米国の組織、学術界、民間産業、政府機関に対して使用されていることが明らかになった。アンゴラ、インド、ラトビア、サウジアラビア、トルクメニスタンの政府機関が標的にされている可能性があることが、スピアフィッシングキャンペーンで使用された餌文書に基づいて観察された。
攻撃では、SugarGh0stを配信するためにRARアーカイブ内に埋め込まれたWindowsショートカット(LNK)ファイルを利用する攻撃チェーンが使用されている。新たな波では、初期感染ベクトルとして自己解凍RARアーカイブ(SFX)を使用し、Visual Basic Script(VBS)を起動して最終的にローダーを介してマルウェアを実行する一方で、囮のファイルを表示する。アンゴラに対する攻撃では、トルクメニスタンのロシア語新聞「Neytralny Turkmenistan」からの餌を使用して、SpiceRATという新しいリモートアクセストロイの木馬を利用していることが注目される。SpiceRATは、DLLサイドローディング技術を使用してマルウェアを展開するRARアーカイブ内のLNKファイルを使用する2つの異なる感染チェーンを採用している。被害者がRARファイルを展開すると、LNKファイルと隠しフォルダがマシンにドロップされる。被害者がPDF文書に偽装されたショートカットファイルを開くと、ドロップされた隠しフォルダから悪意のあるランチャー実行ファイルを実行する組み込みコマンドが実行される。その後、ランチャーは囮の文書を被害者に表示し、合法的なバイナリ(”dxcap.exe”)を実行し、その後、SpiceRATをロードするための悪意のあるDLLをサイドロードする。
【ニュース解説】
中国語を話す未記載の脅威アクター「SneakyChef」が、2023年8月以降、アジアとEMEA(ヨーロッパ、中東、アフリカ)の政府機関を主な標的とするスパイ活動キャンペーンに関与していることが明らかにされました。このキャンペーンでは、特にSugarGh0stマルウェアとSpiceRATというリモートアクセストロイの木馬が使用されています。これらの攻撃は、政府機関のスキャンされた文書を餌として使用するスピアフィッシングキャンペーンを通じて行われています。
SugarGh0stは、RARアーカイブ内に埋め込まれたWindowsショートカット(LNK)ファイルや自己解凍RARアーカイブ(SFX)を初期感染ベクトルとして使用し、Visual Basic Script(VBS)を介してマルウェアを実行します。一方、SpiceRATは、DLLサイドローディング技術を利用し、悪意のあるDLLを介して自身をロードすることで、被害者のネットワーク内でさらなる攻撃を可能にします。
このような攻撃は、政府機関に対する情報収集やスパイ活動を目的としており、被害者のネットワーク内での権限昇格やデータの窃取を可能にします。また、これらの攻撃は、特定の国や組織に対する情報戦の一環として行われる可能性があります。
このキャンペーンの影響範囲は広く、アジア、ヨーロッパ、中東、アフリカの多数の国々が標的にされています。これにより、国際的なセキュリティ環境における緊張が高まる可能性があります。また、政府機関だけでなく、人工知能に関連する組織や学術界、民間産業も標的にされていることから、技術的な知見や研究成果の窃取も懸念されます。
このようなサイバースパイ活動は、国際的な法規制や対策の強化を促す可能性があります。また、組織や政府は、セキュリティ対策の見直しや強化、特にスピアフィッシング攻撃への対策や内部ネットワークのセキュリティ強化が求められます。長期的には、サイバーセキュリティの技術的な進歩や国際的な協力体制の構築が、このような脅威に対抗する鍵となるでしょう。
from Chinese Hackers Deploy SpiceRAT and SugarGh0st in Global Espionage Campaign.
