innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

ミャンマー政府機関、中国系ハッカー集団Mustang Pandaの標的に

,
ミャンマー政府機関、中国系ハッカー集団Mustang Pandaの標的に - innovaTopia - (イノベトピア)

Last Updated on 2024-07-04 08:50 by admin

中国に拠点を置くサイバー脅威アクターであるMustang Pandaが、ミャンマーの国防省と外務省を標的にしたとされる。この攻撃は、バックドアとリモートアクセストロイの木馬を展開することを目的とした二重のキャンペーンの一環として行われた。CSIRT-CTIによると、この活動は2023年11月と2024年1月に発生し、VirusTotalプラットフォームにアップロードされたアーティファクトとの関連で発見された。

攻撃では、正規のソフトウェアを利用する手法が取り入れられており、特にBernecker & Rainer (B&R) 社が開発したバイナリとWindows 10アップグレードアシスタントのコンポーネントを使用して、悪意のある動的リンクライブラリ(DLL)をサイドロードする手法が目立つ。Mustang Pandaは、2012年以降に活動していることが知られており、サイバーセキュリティコミュニティ内ではBASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、RedDelta、Red Lich、Stately Taurus、TEMP.Hexなどの名前でも認識されている。

2023年11月の感染シーケンスは、B&R Industrial Automation GmbHによって元々署名された正規の実行可能ファイル(“Analysis of the third meeting of NDSC.exe”)とDLLファイル(“BrMod104.dll”)を含む罠にかけられたZIPアーカイブ添付ファイルを持つフィッシングメールから始まる。この攻撃は、バイナリがDLL検索順序のハイジャックに弱いことを利用して、悪質なDLLをサイドロードし、その後、永続性を確立し、コマンドアンドコントロール(C2)サーバーとの連絡を取り、PUBLOADと呼ばれる既知のバックドアを取得する。C2トラフィックをMicrosoftの更新トラフィックとして偽装する試みも観察された。

一方、今月初めに観察された第二のキャンペーンでは、光ディスクイメージ(“ASEAN Notes.iso”)を含むLNKショートカットを使用して、別の特注ローダーであるTONESHELLを使用し、現在はアクセスできないC2サーバーからPlugXを展開する可能性がある多段階プロセスをトリガーする。

ミャンマー北部での反乱攻撃が2023年10月に発生した後、中国はミャンマーと中国の国境周辺の貿易ルートとセキュリティに対する影響について懸念を表明している。Stately Taurusのオペレーションは、過去にミャンマーに対する複数のサイバー諜報活動を含む、中国政府の地政学的利益と一致することで知られている。

【ニュース解説】

中国に拠点を置くサイバー脅威アクター、Mustang Pandaがミャンマーの国防省と外務省を標的にしたサイバー攻撃を行ったとされています。この攻撃は、2023年11月と2024年1月にかけて行われ、バックドアやリモートアクセストロイの木馬を展開することを目的としていました。攻撃の手法としては、正規のソフトウェアを悪用し、特にエンジニアリング会社Bernecker & Rainer (B&R) が開発したバイナリやWindows 10アップグレードアシスタントのコンポーネントを使用して、悪意のある動的リンクライブラリ(DLL)をサイドロードする手法が目立ちます。

この攻撃は、DLL検索順序のハイジャックを利用して行われ、攻撃者はコマンドアンドコントロール(C2)サーバーとの通信を確立し、PUBLOADというバックドアを取得します。さらに、C2トラフィックをMicrosoftの更新トラフィックに見せかける工夫も施されていました。これらの攻撃は、ミャンマー北部での反乱攻撃が発生した後、中国がミャンマーと中国の国境周辺の貿易ルートとセキュリティに対する懸念を表明している中で行われました。

このようなサイバー攻撃は、国家間の地政学的な利益や緊張関係を背景に行われることが多く、特に国防省や外務省などの重要な政府機関を標的にすることで、機密情報の収集や政治的な影響力を行使しようとする意図が見られます。攻撃に使用される技術や手法は日々進化しており、正規のソフトウェアやシステムの脆弱性を悪用することで、検出を回避しやすくなっています。

この攻撃が示すように、サイバーセキュリティは単に技術的な問題ではなく、国際政治や地政学的な要素も深く関わっています。そのため、サイバー攻撃への対策は、技術的な防御だけでなく、国際的な協力や情報共有、法的な枠組みの整備など、多角的なアプローチが求められます。また、攻撃の検出や対応の迅速化、被害の最小化を目指すためには、組織内でのセキュリティ意識の向上や教育も重要です。

長期的な視点では、サイバー空間での国家間の競争や対立はさらに激化する可能性があり、それに伴いサイバー攻撃の複雑さや影響の範囲も拡大するでしょう。このような状況に対応するためには、技術的な進歩だけでなく、国際社会全体でのルール作りや協力体制の構築が不可欠です。

from China-Linked Hackers Target Myanmar's Top Ministries with Backdoor Blitz.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » ミャンマー政府機関、中国系ハッカー集団Mustang Pandaの標的に

Latest News