SprySOCKS Linuxマルウェアのウィンドウズ版、政府機関への攻撃に使用

SprySOCKS Linuxマルウェアのウィンドウズ版が、少なくとも4か国の政府機関を標的とした攻撃に使用されていることが明らかになりました。

SprySOCKSはこれまで、中国の脅威グループ「Earth Lusca」と関連付けられており、同グループは外交・技術・通信分野を担う政府機関への攻撃にこのマルウェアを使用してきました。

このほど、ESETの研究者らが同一マルウェアファミリーのウィンドウズ版を発見しました。このバリアントは2023年から2024年にかけて、台湾・タイ・パキスタン・ホンジュラスの政府機関を狙った攻撃に使用されていました。

ESETは、この活動を高い確度でEarth Lusca脅威アクターによるものと判断しています。同社はこのグループを「FishMonger」（別名「Aquatic Panda」「Red Dev 10」「TAG-22」）として追跡しています。

これまで報告されているLinux版とは異なり、ウィンドウズ版はカーネルレベルのステルス機能を追加しており、マルウェアの痕跡を隠蔽するとともに、任意のTCPポートからリダイレクトされたトラフィックを通じてバックドアと通信することが可能です。

2つのバリアントは、ルートキットに類する機能を持つカーネルドライバーを搭載した「WIN_DRV」と、よりシンプルなバックドアである「WIN_PLUS」です。

両バリアントが備える機能は以下のとおりです。

• TCP・UDP・WebSocketを介した通信
• 30種類以上のC2（コマンド＆コントロール）コマンドのサポート
• システム情報の収集
• プロセスおよびサービスの列挙・管理
• ファイルの一覧表示・作成・削除・アップロード・ダウンロード・コピー・名前変更・実行
• SOCKSプロキシ機能のサポート
• クライアントおよびサーバーの両方として動作
• キーストローク・クリップボードの内容・アクティブウィンドウのタイトルのログ記録

WIN_DRVバリアントには、「RawWNPF」という名称のドライバーをメモリに直接ロードする追加機能が搭載されています。

このドライバーは、GitHubのPastDSEプロジェクトから流出した証明書で署名された別のカーネルドライバー「DriverLoader」（fsdiskbit.sys）からロードされます。

このドライバーにより、マルウェアはWindows APIを操作してプロセスを隠蔽し、ネットワーク接続・ディレクトリ一覧内のファイル・永続化に使用する悪意のあるレジストリキーエントリを隠すことができます。

WIN_DRVの永続化は、vds.exeを経由したスケジュールタスクおよびImage File Execution Options（IFEO）によって実現しています。WIN_PLUSはペイロードをWindows Print Processor（VSPMsg）として登録することで永続化を図っています。

また、受信TCPトラフィックを検査し、特別に細工されたパケットをSprySOCKSバックドアにリダイレクトする機能も確認されています。これにより、リスニングポートを外部に露出させることなく通信が可能になります。

「WIN_DRVバージョンは（…）TCPトラフィックの迂回を可能にしており、マルウェアのオペレーターはネットワークトラフィック上でバックドアの実際のリスニングポートを露出させることなく、被害者のデバイス上の任意のTCPポートを通じてバックドアにコマンドを送信できます」とESETは説明しています。

ESETのテレメトリデータには、UEFIブートキットコンポーネントの存在を示す痕跡も確認されています。BlackLotus UEFIマルウェアがゼロデイとして悪用したSecure Bootの脆弱性CVE-2023-24932を利用している可能性が指摘されています。

ただし、BlackLotusとの関連を裏付ける詳細情報や強力な証拠は現時点では示されていません。

ESETのレポートでは、SprySOCKSバックドアのウィンドウズ版を使用した攻撃の特定と防御に役立てるため、詳細な技術分析および侵害の痕跡（IoC）が公開されています。

これらのバリアント自体は新しいものではありませんが、その発見はEarth Luscaがより多様なシステムを標的にするためにアーセナルを拡大していることを示しています。