Last Updated on 2024-07-12 05:12 by admin

中国に関連する高度な持続的脅威（APT）グループであるAPT41は、StealthVectorという既知のマルウェアの「高度でアップグレードされたバージョン」を使用して、これまで文書化されていなかったバックドア「MoonWalk」と呼ばれるものを配信している疑いがある。StealthVectorの新しいバリアントは、DodgeBoxというコードネームでZscaler ThreatLabzによって発見された。DodgeBoxはローダーであり、MoonWalkという新しいバックドアをロードする。MoonWalkはDodgeBoxで実装された多くの回避技術を共有し、コマンドアンドコントロール（C2）通信にGoogle Driveを使用する。

APT41は、2007年以降に活動しているとされる中国の国家支援の脅威アクターに割り当てられた名称である。2020年9月、米国司法省は、世界中の100社以上を対象とした侵入キャンペーンを組織したとして、このハッキンググループに関連する複数の脅威アクターを起訴した。この侵入は、ソースコード、ソフトウェアコード署名証明書、顧客アカウントデータ、貴重なビジネス情報の盗難を容易にし、ランサムウェアや「クリプトジャッキング」スキームなどの他の犯罪スキームも可能にした。

DodgeBoxは、StealthVectorの改良版と評価され、呼び出しスタックの偽装、DLLサイドローディング、DLLホローイングなどの様々な技術を組み込んで検出を回避する。マルウェアがどのように配布されるかは現在不明である。APT41はDLLサイドローディングを使用してDodgeBoxを実行し、正当な実行可能ファイル（taskhost.exe）を使用して悪意のあるDLL（sbiedll.dll）をサイドロードする。DodgeBoxは、第二段階のペイロードであるMoonWalkバックドアを復号化して起動するDLLローダーである。

【ニュース解説】

中国に関連する高度な持続的脅威（APT）グループであるAPT41が、新たなマルウェア「DodgeBox」と「MoonWalk」を使用している疑いがあります。これらは、以前に知られていたマルウェア「StealthVector」の高度でアップグレードされたバージョンであり、特にDodgeBoxは、マルウェアのローダーとして機能し、MoonWalkという新しいバックドアをロードする役割を持っています。MoonWalkは、DodgeBoxに実装された回避技術を多く共有し、コマンドアンドコントロール（C2）通信にGoogle Driveを使用する点が特徴です。

APT41は、2007年以降に活動しているとされる中国の国家支援の脅威アクターで、世界中の100社以上を対象とした侵入キャンペーンを組織したことで知られています。これらの侵入は、ソースコードやソフトウェアコード署名証明書、顧客アカウントデータ、貴重なビジネス情報の盗難を容易にし、ランサムウェアやクリプトジャッキングスキームなどの他の犯罪スキームも可能にしました。

DodgeBoxは、StealthVectorの改良版として、呼び出しスタックの偽装、DLLサイドローディング、DLLホローイングなどの様々な技術を組み込んで検出を回避します。マルウェアがどのように配布されるかは現在不明ですが、APT41はDLLサイドローディングを使用してDodgeBoxを実行し、正当な実行可能ファイル（taskhost.exe）を使用して悪意のあるDLL（sbiedll.dll）をサイドロードすることが明らかにされています。

このような高度なマルウェアの使用は、サイバーセキュリティの分野において重要な課題を提示します。特に、国家支援の脅威アクターによる攻撃は、その技術的な洗練度と目的の重要性により、個々の企業や政府機関にとって大きなリスクをもたらします。このような攻撃から身を守るためには、組織は最新の脅威情報に常に注意を払い、防御策を適切に更新し続ける必要があります。

また、APT41によるこのような攻撃活動は、国際的なサイバーセキュリティの枠組みや規制に対する課題を浮き彫りにします。国家間での協力や情報共有の強化、国際的な法規制の策定と実施が、このような脅威に対抗する上での鍵となるでしょう。長期的には、サイバー空間における安全と安定を確保するために、国際社会が一致団結して取り組む必要があります。

from Chinese APT41 Upgrades Malware Arsenal with DodgeBox and MoonWalk.