Last Updated on 2024-06-22 05:55 by 門倉 朋宏
中国語を使用する高度な持続的脅威(APT)グループが、東半球の政府機関を対象にスパイ活動を行っている。このグループは「SneakyChef」と呼ばれ、昨年8月末に最初にその活動が確認された。当初は「SugarGh0st RAT」と呼ばれるGh0st RATの改変版を使用して、韓国とウズベキスタンの外務省を監視していた。Cisco Talosによる最新のブログ投稿によると、SneakyChefはその後、より多くの国々で新たなキャンペーンを展開している。
このキャンペーンの標的には、アンゴラ、インド、カザフスタン、ラトビア、トルクメニスタンの外務省、アンゴラの農業・林業省、漁業・海洋資源省、アブダビにあるサウジアラビア大使館が含まれる。TalosはSneakyChefを特定の政府に帰属させていないが、コード内の中国語の使用、SugarGh0st RATの使用(特に中国の脅威アクターに人気がある)、標的の類似性に注目している。
SneakyChefの初期のキャンペーンでは、初期感染にLNKファイルに埋め込まれた悪意のあるRARファイルを使用していたが、現在は自己解凍RAR(SFX RAR)を好むようになった。この変更にはいくつかの小さな利点がある。SFX RARは、偽装文書、動的リンクライブラリ(DLL)ローダー、暗号化されたマルウェア(SugarGh0st RATまたはSneakyChefの新しいツールであるSpiceRAT)、持続性を確立するための悪意のあるVisual Basic(VB)スクリプトをドロップする。
偽装文書は、標的となる省庁や大使館に何らかの形で関連する正当なスキャンされた文書であり、通常は今後の会議や会議に関するものを記述している。Talosは、最近のキャンペーンで使用された文書がオープンウェブで見つからなかったことを指摘している(これは、それらがスパイ活動を通じて入手された可能性を示唆している)。
【ニュース解説】
中国語を使用する高度な持続的脅威(APT)グループ「SneakyChef」が、東半球の政府機関を対象にスパイ活動を行っていることが明らかになりました。このグループは昨年8月末にその活動が初めて確認され、韓国とウズベキスタンの外務省を監視していたことが報告されています。その後、Cisco Talosの最新のブログ投稿によると、SneakyChefはアンゴラ、インド、カザフスタン、ラトビア、トルクメニスタンの外務省やアンゴラの農業・林業省、漁業・海洋資源省、アブダビにあるサウジアラビア大使館など、より多くの国々で新たなキャンペーンを展開しています。
SneakyChefの攻撃手法には、初期感染に自己解凍RAR(SFX RAR)ファイルを使用するという特徴があります。この変更は、Windows 11でRARファイルが公式にサポートされるようになったことに対応し、追加のソフトウェアなしでファイルを解凍できるため、感染の可能性を高めるものです。SFX RARファイルは、偽装文書、動的リンクライブラリ(DLL)ローダー、暗号化されたマルウェア(SugarGh0st RATまたは新しいツールであるSpiceRAT)、持続性を確立するための悪意のあるVisual Basic(VB)スクリプトをドロップします。
このようなスパイ活動の背後にある目的は、政府機関からの情報収集です。偽装文書は、標的となる省庁や大使館に関連する正当なスキャンされた文書であり、通常は今後の会議や会議に関するものを記述しています。これらの文書がオープンウェブで見つからなかったことから、スパイ活動を通じて入手された可能性が高いとされています。
このニュースは、国際的なサイバー安全の文脈において重要な意味を持ちます。まず、政府機関がサイバースパイの標的になり得ることを示しており、国家間の情報戦争がデジタルの領域で激化していることを物語っています。また、APTグループが使用する技術の進化により、サイバーセキュリティの専門家は常に新たな脅威に対応するための手法を更新し続ける必要があります。
この攻撃キャンペーンの発見は、サイバーセキュリティのコミュニティにとって警鐘を鳴らすものであり、国際的な協力と情報共有の重要性を再確認させます。また、政府機関だけでなく、民間企業も含めた幅広い組織が、サイバー攻撃から自らを守るための対策を強化するきっかけとなるでしょう。
from 'SneakyChef' APT Slices Up Foreign Affairs With SugarGh0st.
