innovaTopia

Tech for Human Evolution

“BLOODALCHEMYマルウェア、政府機関を狙う新たな脅威に”

"BLOODALCHEMYマルウェア、政府機関を狙う新たな脅威に" - innovaTopia - (イノベトピア)

サイバーセキュリティ研究者たちは、南部および東南アジアの政府機関を標的とした攻撃で使用されているBLOODALCHEMYマルウェアが、Deed RATの更新版であり、ShadowPadの後継であると発見した。日本のITOCHU Cyber & Intelligenceは、ShadowPadが多数のAPTキャンペーンで利用されてきた歴史を踏まえ、このマルウェアの使用傾向に特に注意を払うことが重要であると述べている。

BLOODALCHEMYは、2023年10月にElastic Security Labsによって初めて文書化され、東南アジア諸国連合(ASEAN)を標的とするREF5961として追跡される侵入セットによるキャンペーンとの関連で報告された。C言語で書かれたx86バックドアであり、DLLサイドローディングと呼ばれる技術を使用して署名された無害なプロセス(“BrDifxapi.exe”)に注入され、ツールセットの上書き、ホスト情報の収集、追加ペイロードのロード、自身のアンインストールと終了が可能である。

攻撃チェーンは、VPNデバイス上のメンテナンスアカウントを侵害して初期アクセスを獲得し、その後BrDifxapi.exeを使用してBrLogAPI.dllをサイドロードし、DIFXというファイルから抽出したBLOODALCHEMYシェルコードをメモリ内で実行するローダーを起動する。このマルウェアは、サンドボックス環境での分析を回避し、永続性を確立し、リモートサーバーとの連絡を確立し、実装されたバックドアコマンドを通じて感染ホストを制御するための動作モードを採用している。

ITOCHUのBLOODALCHEMYの分析では、Deed RATとのコード類似性も特定されており、Deed RATはSpace Piratesとして知られる脅威アクターによって排他的に使用されている多面的なマルウェアであり、ShadowPadの次のイテレーションと見なされている。PlugX(Korplug)とShadowPad(別名PoisonPlug)は、長年にわたり中国系ハッキンググループに広く利用されてきた。この発表は、Sharp Dragon(以前はSharp Pandaとして知られる)という中国系の脅威アクターが、進行中のサイバースパイキャンペーンの一環として、アフリカおよびカリブ海の政府機関を含む標的範囲を拡大していることが明らかになった時に行われた。

【ニュース解説】

南部および東南アジアの政府機関を標的にしたサイバー攻撃で使用されているBLOODALCHEMYマルウェアが、Deed RATの更新版であり、それ自体がShadowPadの後継であることが、サイバーセキュリティ研究者によって発見されました。この発見は、日本のITOCHU Cyber & Intelligence社によって報告され、ShadowPadが過去に多数のAPT(Advanced Persistent Threat)キャンペーンで使用されてきたことから、BLOODALCHEMYの使用傾向に特に注意を払う必要があると強調されています。

BLOODALCHEMYは、DLLサイドローディング技術を使用して署名された無害なプロセスに注入されることで、ホスト情報の収集や追加ペイロードのロードなどの機能を持つバックドアとして機能します。このマルウェアは、特定の動作モードを採用することで、サンドボックス環境での分析を回避し、永続性を確立し、リモートサーバーとの連絡を確立する能力を持っています。

BLOODALCHEMYとDeed RATの間にはコードの類似性が見られ、これはDeed RATがSpace Piratesと呼ばれる脅威アクターによって使用されていること、そしてそれがShadowPadの次の進化形であることを示しています。ShadowPadは、PlugX(Korplug)の進化形であり、これらのマルウェアは長年にわたり中国系ハッキンググループによって使用されてきました。

このようなマルウェアの発見と分析は、サイバーセキュリティの分野において重要な意味を持ちます。まず、政府機関を含む組織が、サイバー攻撃の脅威に対してより効果的な防御策を講じるための情報を提供します。また、APTキャンペーンの背後にある脅威アクターの戦術、技術、および手順(TTPs)に関する理解を深めることができます。

しかし、このような高度なマルウェアの存在は、サイバーセキュリティの専門家だけでなく、一般のインターネットユーザーにとっても潜在的なリスクを示しています。特に、政府機関や重要なインフラを標的とする攻撃は、国家の安全保障にとって重大な脅威となり得ます。そのため、サイバーセキュリティ対策の強化だけでなく、国際的な協力や情報共有の重要性がますます高まっています。

将来的には、このようなマルウェアに対抗するための新たな技術や手法の開発が期待されますが、同時に、脅威アクターもまたその手法を進化させ続けるでしょう。このため、サイバーセキュリティは常に進化し続ける分野であり、最新の脅威に対応するためには、継続的な研究と教育が不可欠です。

from Japanese Experts Warn of BLOODALCHEMY Malware Targeting Government Agencies.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » “BLOODALCHEMYマルウェア、政府機関を狙う新たな脅威に”