innovaTopia

Tech for Human Evolution

アジア諸国を狙う「Mustang Panda」、新型マルウェア「DOPLUGS」で脅威拡大

アジア諸国を狙う「Mustang Panda」、新型マルウェア「DOPLUGS」で脅威拡大 - innovaTopia - (イノベトピア)

Last Updated on 2024-07-10 08:47 by admin

中国に関連する脅威アクターであるMustang Pandaが、PlugX(別名Korplug)バックドアの変種であるDOPLUGSを使用して、アジアの複数の国を標的にしている。このカスタマイズされたPlugXマルウェアは、一般的なPlugXマルウェアと異なり、後者をダウンロードするためにのみ使用される。DOPLUGSの標的は主に台湾、ベトナム、そして少ない程度ではあるが香港、インド、日本、マレーシア、モンゴル、さらには中国にも及んでいる。Mustang Pandaは、2012年以降に活動していることが知られており、2017年に初めて明らかになった。この脅威アクターは、カスタムマルウェアを展開するために設計された精巧なスピアフィッシングキャンペーンを実施することで知られている。また、2018年以降、RedDelta、Thor、Hodur、DOPLUGS(SmugXキャンペーンを通じて配布される)など、独自のカスタマイズされたPlugX変種を展開していることでも知られている。侵害チェーンは、フィッシングメッセージを介して第一段階のペイロードを配信することで、受信者にデコイドキュメントを表示しながら、DLLサイドローディングに脆弱な正規の署名された実行可能ファイルを秘密裏に展開し、PlugXを解読して実行するためのダイナミックリンクライブラリ(DLL)をサイドロードする一連の独特な戦術を活用する。その後、PlugXマルウェアはPoison Ivyリモートアクセストロイの木馬(RAT)またはCobalt Strike Beaconを取得し、Mustang Pandaが制御するサーバーとの接続を確立する。2023年12月、Lab52は、台湾の政治、外交、政府機関を標的とするMustang Pandaキャンペーンを発見したが、DOPLUGSには顕著な違いがあった。悪意のあるDLLはNimプログラミング言語で書かれており、以前のバージョンがWindows Cryptsp.dllライブラリを使用していたのに対し、この新しい変種は独自のRC4アルゴリズムの実装を使用してPlugXを解読する。DOPLUGSは、2022年9月にSecureworksによって初めて文書化されたダウンローダーであり、一般的なタイプのPlugXマルウェアをダウンロードするために指揮される4つのバックドアコマンドのうちの1つを備えている。Trend Microは、マルウェアの配布、情報収集、USBドライブを介した文書盗難を担当するプラグインであるKillSomeOneモジュールと統合されたDOPLUGSサンプルも特定した。この変種は、DLLサイドローディングを実行する正規の実行可能ファイルを実行する追加のランチャーコンポーネントを備えており、アクターが制御するサーバーから次の段階のマルウェアを実行およびダウンロードする機能もサポートしている。USB経由で拡散するために設計されたKillSomeOneモジュールを含むカスタマイズされたPlugX変種は、2020年1月にAviraによって香港とベトナムに対する攻撃の一環として初めて発見された。研究者によると、このグループは特にヨーロッパとアジアで非常に活動的である。

【ニュース解説】

中国に関連するサイバー脅威アクターであるMustang Pandaが、PlugXの変種であるDOPLUGSを使用してアジアの複数の国を標的にしていることが報告されました。このマルウェアは、一般的なPlugXマルウェアとは異なり、主に他のマルウェアをダウンロードするために使用されます。標的とされた国には、台湾、ベトナム、香港、インド、日本、マレーシア、モンゴル、そして中国が含まれています。

Mustang Pandaは、2012年以降に活動していることが知られており、特に精巧なスピアフィッシングキャンペーンを通じてカスタムマルウェアを展開することで知られています。このグループは、独自のPlugX変種を展開することでも知られており、DOPLUGSはその最新の例です。

DOPLUGSは、悪意のあるDLLをNimプログラミング言語で書かれており、独自のRC4アルゴリズムの実装を使用してPlugXを解読します。これは、以前のバージョンがWindowsのCryptsp.dllライブラリを使用していたのとは異なります。また、このマルウェアは、マルウェアの配布、情報収集、USBドライブを介した文書盗難を担当するKillSomeOneモジュールと統合されています。

このニュースは、サイバーセキュリティの分野において重要な意味を持ちます。まず、Mustang Pandaのような脅威アクターが、より高度な技術を使用して特定の地域や国を標的にしていることが示されています。これは、国家レベルでのサイバー攻撃の脅威が増加していることを意味します。また、新しいマルウェアの変種が登場するたびに、セキュリティ専門家はこれらの脅威を特定し、防御策を講じる必要があります。

ポジティブな側面としては、このような攻撃の発見と報告が、サイバーセキュリティコミュニティにおける知識の共有と協力を促進することです。一方で、潜在的なリスクとしては、このような高度なマルウェアが一般の企業や個人にも悪用される可能性があります。

規制に与える影響としては、国際的なサイバーセキュリティ基準や法律の強化が期待されます。また、将来的には、AIや機械学習を活用した自動化された防御システムの開発が加速する可能性があります。これにより、サイバー攻撃の検出と対応がより迅速かつ効果的になることが期待されます。

長期的な視点では、サイバーセキュリティはますます複雑化し、国際的な協力が不可欠になるでしょう。また、技術の進化に伴い、新たな脅威が常に出現するため、継続的な研究と教育が重要となります。

from Mustang Panda Targets Asia with Advanced PlugX Variant DOPLUGS.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » アジア諸国を狙う「Mustang Panda」、新型マルウェア「DOPLUGS」で脅威拡大

“アジア諸国を狙う「Mustang Panda」、新型マルウェア「DOPLUGS」で脅威拡大” への1件のコメント

  1. 伊藤 明のアバター
    伊藤 明

    このニュースは、私たちがデジタル時代に生きている今、サイバーセキュリティがいかに重要であるかを改めて思い知らせますね。特に私のような小規模な電気店経営者にとっても、この問題は無関係ではありません。店内で扱う商品はもちろん、顧客の個人情報や取引情報を守るためにも、セキュリティ対策は欠かせないのです。

    Mustang Pandaがアジア諸国を標的にしているという事実は、地理的な距離だけでなく、サイバー空間においても私たちは世界中の脅威と直接つながっていることを示しています。特に日本が標的に含まれているという点で、私たちのビジネスや日常生活にも直接的な影響がある可能性があります。

    このような高度なマルウェア攻撃は、個人や小規模事業者だけで対処するには難しい面があります。そのため、政府や専門機関からの情報提供や支援が非常に重要です。また、私たち自身も最新のセキュリティ対策に関心を持ち、対策を更新し続ける必要があると感じます。

    このニュースを受けて、私は店内のシステムに対するセキュリティ審査を再度行い、必要に応じて専門家に相談することを検討しています。また、顧客に対しても