出典:ambquinn / Shutterstock
中国語によるサイバー諜報キャンペーンが、DeepSeekのR1大規模言語モデル(LLM)のインストーラーを装い、台湾の市民を標的にマルウェアに感染させる攻撃を行っています。これは、同地域で人気のソフトウェアを餌にした最新のサイバー攻撃です。
この攻撃は、中国と関係があるとされるサイバー諜報グループ「シルバーフォックス」によるものとみられ、中国語話者を対象に、人気のソフトウェアやサービス(Sougou検索エンジン、WPS Office、DeepSeekのLLMなど)のインストールを約束するフィッシングページや中国語のインストーラーを使っています。偽のインストーラーを実行したユーザーは、ソフトウェア自体も入手できますが、同時にSainbox RAT(オープンソースのGh0stRATルートキットの亜種)によってシステムが侵害されます。
全体として、この攻撃はある程度成功していますが、特定の組織を狙っているわけではないようだと、クラウドセキュリティ企業Netskopeの脅威ラボディレクター、Ray Canzanese氏は述べています。
「シルバーフォックスの手口は、台湾の組織や個人を標的にすることです」と彼は言います。「偽のインストーラーソフトウェアを使うのは、私がサイバーセキュリティ業界に入って以来ずっと見てきた手法です……この手法は常に被害者が出るため、攻撃者は使い続けているのです。」
この最新のキャンペーンは、DeepSeekの効率的なR1大規模言語モデルの人気上昇を利用しています。同社が1月にチャットボットをリリースした際、大きな注目を集めました。数週間以内に、脅威アクターたちはすでにAIチャットボットへの関心を利用したフィッシング攻撃やAI技術の偽広告によるマルウェア拡散を行っていました。
「彼らがDeepSeekを使う理由は、WPS Officeを使う理由と同じです。世界中の中国語話者の間で非常に人気があるため、人々がインストーラーを探してダウンロードしようとするからです」とCanzanese氏は語ります。「だからこそ、彼らは餌を作り、ウェブサイトを作り、これらのツールの人気が人々を騙してクリック・ダウンロードさせるのに十分だと期待していたのです。」
諜報活動とサイバー犯罪の側面
シルバーフォックスグループは主に諜報活動に注力していますが、時折、利益目的や作戦のカバーとして金銭目的の活動も行うことがあると専門家は指摘しています。
このグループは、脆弱なドライバーやダイナミックリンクライブラリ(DLL)の利用を好みます。今年初め、サイバーセキュリティ企業Check Point Software Technologiesの研究者は、同グループの脅威アクターが古い脆弱なドライバーを使って権限昇格を行っていることを発見しました。これは「Bring Your Own Vulnerable Driver(BYOVD)」攻撃として知られ、DLLサイドローディングと似た手法で、WindowsアプリケーションがDLLを読み込む仕組みを悪用します。
偽のDeepSeekインストーラー用ウェブページは本物のページを模倣しています。出典:Netskope
これらの手法は、国家支援グループやサイバー犯罪グループの間で依然として人気があると、Trend MicroのZero Day Initiative(ZDI)上級脅威リサーチャー、Peter Girnus氏は述べています。
「DLLサイドローディングは、国家支援グループと犯罪グループの両方で一般的に使われています。これはWindowsがDLLを読み込む仕組みを悪用し、信頼されたアプリケーションを利用して悪意あるコードを実行できるためです。この方法は、信頼されたアプリケーションに便乗してセキュリティ制御を回避するのに効果的で、現代の攻撃で頻繁に使われています。」
Gh0stRAT、アジア太平洋地域で依然として脅威に
Gh0stRATの亜種は、アジア太平洋地域のサイバー諜報・サイバー犯罪グループの間で依然として人気があります。最新の攻撃では「Sainbox」と呼ばれる亜種が使われており、攻撃者に被害者のマシンの完全な制御権を与えます。通常、攻撃者は他のツールやペイロードのダウンロード・実行、機密データの窃取、ランサムウェア攻撃の実施が可能です。
シルバーフォックスともう一つの脅威グループ「Void Arachne」は、Gh0stRATを高度な悪意あるフレームワーク「Winos4.0」の基盤として利用しました。これは最新のキャンペーンと同様に、偽のインストールツールやゲームアプリ向けの最適化ユーティリティを使って被害者を誘い込んでいたと、2024年11月に発表された研究で報告されています。
「Gh0stRATは……一度流出してしまうと、誰もが使い始め、中国の脅威グループの間で非常に人気になりました」とNetskopeのCanzanese氏は言います。「シルバーフォックスでさえ、多くの異なる亜種を使っており、キャンペーンごとに特定の機能を持つ新しい亜種を常に作り出しています。」
この脅威グループは、時には「Hidden」と呼ばれる別のルートキットもダウンロードします。名前が示す通り、これはステルス活動に特化し、悪意あるペイロードを隠したり、攻撃者のツールがセキュリティソフトによって終了されるのを防いだりします。
全体として、シルバーフォックスは医療、政府、産業ネットワークへの侵入に成功し、データ窃取や長期監視を可能にするサイバー諜報ツールをインストールしてきたとTrend MicroのGirnus氏は述べています。医療分野では、攻撃によって患者データや重要なシステムが侵害されており、他の攻撃の影響については公表されていません。
これらの攻撃は、信頼できるソースからのみソフトウェアを入手することの重要性だけでなく、ネットワークを分割し、万が一信頼できるソースからも侵害されたコードが配布された場合に重要なシステムを隔離することの重要性も浮き彫りにしています。
企業は「フィッシングや不審な活動に関する従業員教育、侵害の兆候の監視、最小権限アクセスとゼロトラスト原則の徹底、異常な活動を検知するための行動監視」などを行うべきだとGirnus氏は述べています。