出典:GarySandyWales / Getty Images
中国の国家支援を受けた脅威アクターが、チェコ共和国と台湾の特定組織を標的に、データ窃取を目的とした攻撃を展開しています。攻撃対象は明確なセクターに絞られており、政府・公共機関、研究・学術機関、テクノロジー・ソフトウェア、そして金融サービスが対象となっています。
これは、セキュリティベンダーのSeqriteが先週発表した調査レポートによるものです。「オペレーション・ドラゴン・ウィーブ」と名付けられたこのスピアフィッシングキャンペーンは、標的にzipファイルを添付したメールを送りつけるところから始まります。メールには、近々予定されているビジネス会議、あるいはチェコ共和国をテーマにした事例ではチェコ社会保障局(ČSSZ)の予約といった名目で、ファイルを開くよう促す指示が記されています。
チェコとの関係:中国のサイバー攻撃の照準
Seqriteはこのキャンペーンを中国に帰属するとしていますが、確信度は中程度に留まっており、特定のAPT(持続的標的型攻撃)グループとの関連づけまでは踏み込んでいません。
中国と台湾の緊張関係は広く知られているため、このようなキャンペーンが展開されても不思議ではありません。一方、あまり知られていないのが、中国とチェコ共和国の複雑な関係です。両国は重要な貿易パートナーではありますが、チェコ政府と中国は、チェコの台湾支持姿勢と、ウクライナ侵攻におけるロシアへの中国の支援をめぐって対立しています。ESETのサイバー脅威アナリスト、Alexis Rapin氏によれば、こうした背景が、チェコ共和国が中国のサイバー攻撃の標的となる理由の一つを説明しているかもしれないといいます。
「チェコ共和国(CZ)は現在、欧州の中でも台湾と最も緊密な関係を持つ国であり、それが中国寄りの脅威アクターにとって『自然な』標的となっている理由です」とRapin氏は説明します。「当社のテレメトリーによれば、中国のAPTの関心は概ねこの時系列と一致しており、2023年頃からチェコを頻繁に標的にし始めたことが確認できます。最も多い標的は政府機関で、学術機関と非営利セクターがそれに続いています。」
さらに同氏は、「状況の全体像と広い文脈を踏まえると、チェコ共和国は欧州における中国寄りAPTの情報収集の優先ターゲットに繰り返し挙げられている可能性が高いと言えます」と述べています。
中国の二段階攻撃の仕組み
スピアフィッシングメールに添付されたzipファイルには複数のファイルが含まれており、その中には、ČSSZ予約当日の案内といったもっともらしい情報を記載したデコイPDFを開く実行ファイルが含まれています。感染の主な経路は、同梱されたLNKショートカットファイルをクリックすることです。クリックするとPowerShellスクリプトが起動し、必要なすべてのコンポーネントが復号化されたうえで、RuntimeBroker_update.exeというファイルを通じて実行されます。
しかし、被害者が最初の実行ファイルを開いた場合、そのファイルは「自己完結型のRustベースのドロッパーとして機能し、必要なすべてのコンポーネントを単独で展開した後、同じRuntimeBroker_update.exeを起動する」とSeqriteのブログ記事は説明しています。これにより、マルウェアは2つの異なる展開手段を持つことになります。
RuntimeBroker_update.exeは悪意のあるDLLを読み込み、「Rustcloak」と追跡されているRustベースのローダーを実行します。このローダーが復号化・実行する最終的なペイロードが「Azureveil」であり、AdaptixのC2(コマンド&コントロール)エージェントです。
二重の脅威:RustcloakとAzureveilマルウェア
Rustcloakは感染チェーンを継続させるだけでなく、検出回避・解析妨害機能を備えている点でも注目に値します。この機能はシステムのコンピュータ名を取得し、100以上の既知のサンドボックス・解析機器の名前リストと照合します。一致するものがあれば、ローダーはプロセスを終了し、ペイロードは実行されません。
一方、AzureveilはMicrosoft Azure Blob Storageを活用したC2コンポーネントが特徴的です。
「Azureveilは従来のプルベースC2モデルを用いず、デッドドロップ方式を採用しています」と研究は述べています。「攻撃者と感染システムが直接通信することはありません。代わりに、双方が同一のAzureストレージコンテナを使用してデータをやり取りします。」
さらに、「エージェントは定期的に小さな暗号化ビーコン(約124バイト)をアップロードして稼働中であることを知らせます。攻撃者はそのコンテナにコマンドを配置し、Azureveilがこれらのコマンドを取得・復号化して実行し、結果を暗号化されたBLOBとして再アップロードします」と付け加えています。
この段階に達した攻撃者は、標的システムから自由にコマンドを実行し、ファイルを窃取することが可能になります。
では、組織はどのような対策を取るべきでしょうか。Seqriteのリサーチチームは、オペレーション・ドラゴン・ウィーブはスピアフィッシングから始まり一般的なマルウェアへと発展するため、フィッシング対策のユーザー啓発トレーニング以外にも技術的な選択肢があると、Dark Readingに語っています。具体的には、関連する脅威・脆弱性・リスク・影響について定期的なセキュリティ意識評価を実施すること、SIEM(セキュリティ情報・イベント管理)ソリューションでログを監視・一元管理すること、EDR・XDR・FIM(ファイル整合性モニタリング)による防御を導入すること、プロセス実行を監視して異常を検知すること、そして本記事で紹介したような悪意ある不審メールに対してメールフィルタリングを活用することなどが挙げられます。
翻訳元: https://www.darkreading.com/threat-intelligence/china-uses-dual-method-attack-czech-taiwan-orgs
