innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

ustang Panda:中国系ハッカー集団が新型マルウェア「StarProxy」でミャンマーを標的に

ustang Panda:中国系ハッカー集団が新型マルウェア「StarProxy」でミャンマーを標的に - innovaTopia - (イノベトピア)

Last Updated on 2025-04-19 10:38 by admin

中国関連の脅威アクター「Mustang Panda(マスタングパンダ)」が、ミャンマーの特定されていない組織を標的としたサイバー攻撃を行い、これまで報告されていなかった新たなツールを使用していることが2025年4月17日にZscaler ThreatLabzによって報告された。この攻撃は、同グループがマルウェアの洗練度と効果を高めるための継続的な取り組みを示している。

この攻撃には、「TONESHELL」(トーンシェル)と呼ばれる既知のバックドアの更新版、新しい横方向移動ツール「StarProxy」(スタープロキシ)、「PAKLOG」と「CorKLOG」というコードネームの2つのキーロガー、そして「SplatCloak」(スプラットクローク)と呼ばれるエンドポイント検知・対応(EDR)回避ドライバーが含まれている。

Mustang Pandaは、BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、RedDeltaとしても知られ、少なくとも2012年から活動している中国系の国家支援脅威アクターである。主に東アジアの国々、そしてより少ない程度でヨーロッパの政府、軍事機関、少数派グループ、非政府組織(NGO)を標的としている。

TONESHELLの最新バリアントでは、TLSv1.2からTLSv1.3ヘッダー偽装への移行など、FakeTLSコマンド・アンド・コントロール(C2)通信プロトコルが更新されており、ネットワーク活動の隠蔽能力が向上している。また、感染したホストを一意に識別するためのGUID作成にカスタム乱数生成戦略を採用している。

「StarProxy」はDLLサイドローディングを通じて起動され、FakeTLSプロトコルを活用してトラフィックをプロキシし、攻撃者の通信を容易にするように設計されている。このツールは、外部または内部ホストへのリレーソケットの確立、データの転送、プロキシ接続の管理など、複数のコマンドをサポートしており、攻撃者が制限された環境内でピボットし、永続的なアクセスを維持することを可能にしている。

この脅威アクターは、米国内で4,000台以上のコンピュータにPlugX RATを感染させた実績があり、2025年1月にはFBIとフランスの法執行機関がマルウェアの自己削除メカニズムを利用してこれを除去している。

from:Mustang Panda Targets Myanmar With StarProxy, EDR Bypass, and TONESHELL Updates

【編集部解説】

中国系脅威アクター「Mustang Panda」の最新活動は、国家支援型サイバー攻撃の進化を如実に示す事例として注目に値します。Zscaler ThreatLabzの詳細な分析によれば、このグループは少なくとも2012年から活動を続けており、その攻撃手法は年々洗練されています。

今回のミャンマーを標的とした攻撃で特に注目すべきは、彼らのツールキットの多様化と高度化です。「TONESHELL」バックドアの最新バリアントでは、TLSv1.2からTLSv1.3ヘッダー偽装への移行など、FakeTLSコマンド・アンド・コントロール通信プロトコルが更新されており、ネットワーク活動の隠蔽能力が向上しています。また、各バリアントは感染したホストを一意に識別するためのGUID作成にカスタム乱数生成戦略を採用しており、防御側が行動シグネチャに依存している場合の検出を複雑にしています。

「StarProxy」という新ツールは、DLLサイドローディングを通じて展開され、FakeTLSベースのTCP通信を使用して攻撃者のトラフィックを侵害された環境全体でプロキシするように設計されています。このツールは、パケット暗号化のためにハードコードされた動的に生成されるXORキーを利用し、正当なTLSトラフィックに酷似したカスタムプロトコルヘッダーを使用してビーコンとコマンド応答を送信します。その機能は、外部または内部ホストへのリレーソケットの確立、データの転送、プロキシ接続の管理など多岐にわたり、攻撃者が制限された環境内でピボットし、永続的なアクセスを維持することを可能にしています。

さらに「SplatCloak」のようなEDR回避ツールの開発は、セキュリティ業界との「いたちごっこ」が続いていることを示唆しています。Windows DefenderやKasperskyといった主要セキュリティソフトの防御機能を無効化する能力は、企業のセキュリティ対策に大きな課題を投げかけています。

このような高度な攻撃ツールの出現は、サイバーセキュリティの世界が常に変化していることを示しています。特に、FakeTLSプロトコルの使用やDNS-over-HTTPS(DoH)を通じたC2サーバーの解決など、最新のネットワークセキュリティ対策を回避するための技術が進化していることは注目に値します。

企業や組織にとって、このような脅威に対処するためには、従来の境界防御だけでは不十分です。多層防御戦略の採用、異常検知に基づいたセキュリティ監視の強化、そして最新の脅威情報の継続的な収集と分析が重要になってきています。

また、Mustang Pandaのような国家支援型脅威アクターの特徴として、特定の地域や組織を長期間にわたって標的にする「持続的標的型攻撃(APT: Advanced Persistent Threat)」が挙げられます。今回の事例では、主に東アジア地域、特にミャンマーが標的となっていますが、これは地政学的な利害関係を反映している可能性があります。

FBIとフランスの法執行機関が2025年1月に、米国内で4,000台以上のコンピュータに感染したPlugX RATをマルウェアの自己削除メカニズムを利用して除去したという事実は、国際的な協力がこうした脅威に対抗する上で重要であることを示しています。

日本の組織も同様の脅威に直面する可能性があることを考えると、セキュリティ対策の継続的な見直しと強化が不可欠です。特に、DLLサイドローディングのような攻撃手法に対する防御、ネットワークトラフィックの監視強化、そしてエンドポイントセキュリティソリューションの適切な構成と維持が重要となるでしょう。

最終的に、サイバーセキュリティは静的な対策では不十分であり、脅威アクターの進化に合わせた継続的な監視と対応が必要だということを、この事例は私たちに教えてくれています。テクノロジーの進化とともに、セキュリティ対策も進化し続ける必要があるのです。

【用語解説】

Mustang Panda(マスタングパンダ):
2012年頃から活動している中国系の国家支援型脅威アクター(ハッカー集団)である。Red Delta、Bronze President、BASIN、Camaro Dragon、Earth Preta、HoneyMyteなど複数の別名を持つ。主に東アジアの政府機関や非政府組織を標的としている。

APT(Advanced Persistent Threat):
高度で持続的な標的型攻撃のこと。特定の組織や国を長期間にわたって標的とし、機密情報の窃取などを目的とする。一般的なサイバー攻撃と異なり、高度な技術と豊富なリソースを持つ攻撃者(多くは国家支援型)によって実行される。

EDR(Endpoint Detection and Response): エンドポイント検知・対応と呼ばれるセキュリティソリューション。パソコンやサーバーなどの端末(エンドポイント)上での不審な活動を検知し、対応するためのツール。従来のアンチウイルスソフトより高度な監視・分析機能を持つ。

DLLサイドローディング:
正規のプログラムが読み込もうとするDLL(Dynamic Link Library)の代わりに、悪意のあるDLLを読み込ませる攻撃手法。正規のプログラムの信頼性を悪用するため、セキュリティソフトの検知を回避しやすい。

C2(Command and Control)サーバー:
攻撃者がマルウェアに感染したコンピュータを遠隔操作するために使用するサーバー。指令塔のような役割を果たし、マルウェアはこのサーバーから命令を受け取り、盗んだ情報を送信する。

FakeTLS:
正規のTLS(Transport Layer Security)通信を模倣した通信プロトコル。TLSは通信を暗号化する技術だが、FakeTLSはその見た目だけを真似て、セキュリティ監視を回避するために使用される。最新のTONESHELLバリアントではTLSv1.2からTLSv1.3ヘッダー偽装への移行が確認されている。

DNS-over-HTTPS(DoH):
DNSクエリ(ウェブサイト名からIPアドレスを取得する問い合わせ)をHTTPS通信で暗号化して行う技術。プライバシー保護のために開発されたが、マルウェアがC2サーバーとの通信を隠蔽するためにも悪用される。

XORベースの暗号化:
排他的論理和(XOR)演算を使用した比較的単純な暗号化方式。StarProxyでは、パケット暗号化のためにハードコードされた動的に生成されるXORキーを利用している。

【参考リンク】

Zscaler(外部)
クラウドベースのセキュリティプラットフォームを提供する企業。ThreatLabzはZscalerの脅威研究チーム。

NVISO(外部)
ベルギーに拠点を置くサイバーセキュリティ企業。UNC5221によるBRICKSTORMマルウェアを分析。

MITRE Corporation(外部)
米国の非営利組織で、サイバーセキュリティの「ATT&CK」フレームワークを開発・維持している。

Ivanti(外部)
IT資産管理やセキュリティソリューションを提供する企業。Connect Secure製品の脆弱性が悪用された。

【編集部後記】

テクノロジーの進化は私たちの生活を豊かにする一方で、サイバー空間における脅威も同様に進化し続けています。今回ご紹介したMustang Pandaの事例からは、FakeTLSプロトコルの進化(TLSv1.2からTLSv1.3ヘッダー偽装への移行)やXORベースの暗号化など、攻撃者が検知回避のために常に技術を更新していることがわかります。皆さんの組織ではEDR回避やDLLサイドローディングといった高度な攻撃手法に対する防御策は整っているでしょうか? セキュリティ対策は「一度やったから安心」ではなく、継続的な更新が必要です。ぜひ、この機会に自社のセキュリティ体制を見直してみてはいかがでしょうか。

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

投稿者アバター
TaTsu
デジタルの窓口 代表 デジタルなことをまるっとワンストップで解決 #ウェブ解析士 Web制作から運用など何でも来い https://digital-madoguchi.com
自己紹介の全文を表示
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » ustang Panda:中国系ハッカー集団が新型マルウェア「StarProxy」でミャンマーを標的に

Latest News