「Evasive Panda」がチベットユーザー狙う: 悪意ある攻撃キャンペーン発覚

「Evasive Panda」がチベットユーザー狙う: 悪意ある攻撃キャンペーン発覚 - innovaTopia - (イノベトピア)

Last Updated on 2024-08-06 05:09 by admin

中国に関連する脅威アクターであるEvasive Pandaは、2023年9月以降、チベットのユーザーをターゲットにしたサプライチェーン攻撃とウォータリングホール攻撃を実施している。これらの攻撃の目的は、WindowsとmacOS用の悪意のあるダウンローダーを配布し、既知のバックドアであるMgBotと、以前に文書化されていなかったWindows用のインプラントであるNightdoorを展開することである。この発見は、ESETによって報告され、攻撃者は少なくとも3つのウェブサイトを侵害してウォータリングホール攻撃を行い、チベットのソフトウェア会社のサプライチェーンを侵害した。この作戦は2024年1月に発見された。

Evasive Pandaは、2012年から活動しており、Bronze HighlandやDaggerflyとしても知られている。このグループは、2023年4月にESETによって、中国本土の国際非政府組織(NGO)をMgBotを使用して標的にしたと報告されている。また、同時期にBroadcom傘下のSymantecによる別の報告では、この敵対者が2022年11月以降、アフリカの電気通信サービスプロバイダーを標的にしたサイバー諜報キャンペーンに関与していることが示唆されている。

攻撃者は、Kagyu International Monlam Trustのウェブサイト(“www.kagyumonlam[.]org”)の戦略的なウェブ侵害を行い、潜在的な被害者のIPアドレスを確認し、ターゲットとされたアドレス範囲内にある場合、ユーザーに「修正」をダウンロードするよう促す偽のエラーページを表示するスクリプトを配置した。この攻撃は、インド、台湾、香港、オーストラリア、米国のユーザーを特に標的としている。Evasive Pandaは、2024年1月下旬から2月にかけてインドで行われた年次Kagyu Monlam Festivalを利用して、複数の国と地域のチベットコミュニティを標的にしたと見られる。

さらに、このキャンペーンは、チベット語翻訳ソフトウェアのトロイの木馬化されたWindowsおよびmacOSインストーラーを配布するために、インドのソフトウェア会社のウェブサイト(“monlamit[.]com”)とサプライチェーンを侵害することで注目される。この侵害は2023年9月に発生した。攻撃者は、悪意のあるダウンロードによって取得されたペイロードをホストするために、同じウェブサイトとチベットのニュースウェブサイトTibetpost – tibetpost[.]net – をも悪用した。

【ニュース解説】

中国に関連するサイバー攻撃グループ「Evasive Panda」が、2023年9月以降、チベットのユーザーを標的にしたサプライチェーン攻撃とウォータリングホール攻撃を実施していることが、セキュリティ企業ESETの調査により明らかになりました。この攻撃は、WindowsとmacOS向けの悪意あるダウンローダーを配布し、既知のバックドア「MgBot」と、これまで文書化されていなかったWindows用のインプラント「Nightdoor」を展開することを目的としています。

Evasive Pandaは、2012年から活動しており、これまでにも中国本土の国際非政府組織(NGO)やアフリカの電気通信サービスプロバイダーを標的にしたサイバー諜報活動に関与していることが報告されています。今回の攻撃では、特にチベットコミュニティが集まるKagyu International Monlam Trustのウェブサイトをはじめ、3つのウェブサイトが侵害され、チベットのソフトウェア会社のサプライチェーンも標的にされました。

攻撃者は、潜在的な被害者のIPアドレスを確認し、特定の地域(インド、台湾、香港、オーストラリア、米国)に属するユーザーに対して、偽のエラーページを表示させ、「修正」のダウンロードを促す手法を用いました。この偽のダウンロードは、Nightdoorインプラントを含む次の攻撃段階へと進めるためのものです。

このキャンペーンは、チベット語翻訳ソフトウェアのトロイの木馬化されたインストーラーを配布するために、インドのソフトウェア会社のウェブサイトとサプライチェーンを侵害することでも特徴づけられます。攻撃者は、悪意あるダウンロードによって取得されたペイロードをホストするために、チベットのニュースウェブサイトも悪用しました。

このような攻撃は、個人のプライバシーや企業のセキュリティに深刻な脅威をもたらします。特に、サプライチェーン攻撃は、信頼されているソフトウェアやサービスを介して悪意あるコードを配布することで、多くのユーザーを危険にさらす可能性があります。また、ウォータリングホール攻撃は、特定のコミュニティや組織を狙い撃ちにすることで、狙った標的に対して高い成功率を示します。

この事件は、国家支援を受けたサイバー攻撃がいかに巧妙で、広範囲にわたる可能性があるかを示しています。また、サイバーセキュリティの重要性と、個人や組織が自身のデジタル環境を保護するために取るべき予防措置の必要性を浮き彫りにしています。セキュリティ対策の強化、定期的なソフトウェア更新、不審なメールやダウンロードへの警戒など、基本的なセキュリティ対策の徹底が求められます。

from Chinese State Hackers Target Tibetans with Supply Chain, Watering Hole Attacks.

SNSに投稿する

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 「Evasive Panda」がチベットユーザー狙う: 悪意ある攻撃キャンペーン発覚

“「Evasive Panda」がチベットユーザー狙う: 悪意ある攻撃キャンペーン発覚” への1件のコメント

  1. 山本 拓也のアバター
    山本 拓也

    この報告によると、中国に関連するサイバー攻撃グループ「Evasive Panda」が、チベットのユーザーを標的にしたサプライチェーン攻撃とウォータリングホール攻撃を行っているというのは、非常に懸念すべき事態ですね。特に、信頼されているソフトウェアやサービスを利用して悪意あるコードを配布するサプライチェーン攻撃は、その影響力の広がりが計り知れません。私たちは日々、様々なソフトウェアを信頼して使用していますが、その背後にこのような脅威が潜んでいるとは気が気ではありません。

    ウォータリングホール攻撃も、特定のコミュニティや組織を狙って行われるため、その標的にされた場合の被害は甚大です。特に、この攻撃が国家支援を受けたサイバー攻撃である場合、その技術的な巧妙さや資源は一般の組織や個人が対処できるレベルを超えていることが多く、より一層の警戒が必要です。

    このような状況を鑑みると、個人や組織は、日頃からセキュリティ対策を強化し、特にサプライチェーンにおけるセキュリティの重要性を再認識する必要があります。定期的なソフ