タイの政府関係者を標的とした新型バックドア「Yokai」による攻撃が2024年12月に発覚した。
攻撃の主な特徴:
- 攻撃手法:DLLサイドローディング技術を使用
- 攻撃の起点:タイ語で作成された2つのWindowsショートカットファイル
- 使用されたおとり文書:米国司法省関連を装ったPDFファイルとWordファイル
- マルウェアの特徴:iTop Data Recoveryの正規アプリケーションを悪用
攻撃の技術的詳細:
- 悪用された正規ファイル:IdrInit.exe
- 悪意のあるDLL:ProductStatistics3.dll
- 攻撃の最終目的:ホストへの永続的なアクセス権限の確立とリモートコマンド実行
おとり文書の内容は、2003年に殺人罪で起訴され、タイに逃亡したとされるWoravit Mektrakarn容疑者に関連する内容。この事案は米国でのメキシコ人移民失踪事件に関連している。
この発見は、米国のクラウドセキュリティ企業Netskope社のセキュリティ効果チームによって報告された。同社のシニアエンジニアNikhil Hegde氏が調査結果を公表している。
同時期に、セキュリティ企業Zscaler社は「NodeLoader」と呼ばれる別の攻撃キャンペーンも報告。これはYouTubeの動画説明文を利用して暗号通貨マイナーや情報窃取ツール(XMRig、Lumma、Phemedrone Stealer)を拡散する攻撃だった。
from:Thai Officials Targeted in Yokai Backdoor Campaign Using DLL Side-Loading Techniques
【編集部解説】
DLLサイドローディングという手法は、正規のアプリケーションの信頼性を悪用する巧妙な攻撃手法です。今回のYokaiバックドアは、iTop Data Recoveryという正規のデータ復旧ソフトウェアを悪用していることが特徴的です。
この攻撃は、2024年に入って確認された中国関連のAPTグループによる一連の攻撃の新たな展開として注目されています。実際、タイを標的とした同様の攻撃は2023年から継続的に観察されており、CeranaKeeperなどの攻撃グループの活動とも関連している可能性があります。
地政学的な文脈
この攻撃が特に注目される理由は、タイの政府機関を標的としている点です。東南アジア地域では、2022年初頭から政府機関を狙った同様の攻撃が複数確認されており、ミャンマー、フィリピン、日本、台湾なども標的となっています。
新しい攻撃手法の特徴
Yokaiバックドアの特徴的な点は、正規のアプリケーションを介してシステムに潜入する手法を採用していることです。これは、一般的なセキュリティソフトウェアによる検出を回避しやすい特徴があります。
また、攻撃者は複数のクラウドサービスやファイル共有サービスを悪用してコマンド実行やデータ窃取を行っており、正規のサービスを利用することで不正な通信の検出を困難にしています。
企業や組織への影響
この種の攻撃は、特に政府機関や重要インフラを運営する組織にとって深刻な脅威となります。攻撃者は、組織内部の文書や情報を収集することが可能となり、機密情報の漏洩リスクが高まります。
対策の方向性
組織はDLLサイドローディング攻撃に対する防御策として、アプリケーション制御の強化やシステムの監視強化が重要です。また、正規のクラウドサービスへの不審なアクセスを検知する仕組みの導入も効果的です。
今後の展望
このような攻撃手法は、今後さらに巧妙化していく可能性が高いと考えられます。特に、正規のサービスやアプリケーションを悪用する手法は、従来の対策では検出が困難であり、新たなセキュリティアプローチが必要となってきています。