ESETのサイバーセキュリティ研究者が、中国のサイバースパイグループ「FishMonger」の戦術における大きな変化を明らかにしました。同グループは請負業者I-SOONとの関連が指摘されています。
この脅威アクターは、これまで文書化されていなかったSprySOCKSのWindows版を2種類開発しました。SprySOCKSはこれまでLinuxシステムのみを標的とするバックドアと考えられていました。
2023年および2024年のテレメトリデータによると、これらの新たな攻撃はホンジュラス、台湾、タイ、パキスタンの政府機関を主要な標的としています。
攻撃者は、パッチが未適用の公開サーバーに存在する既知の脆弱性を悪用することで、初期アクセスを獲得したとみられています。
新たに発見されたマルウェアは、内部名称でWIN_DRVおよびWIN_PLUSと呼ばれる2種類の異なるバリアントで構成されています。いずれも、ハードコードされたC2設定と広範なリモート管理機能を備えたコアアーキテクチャを共有しています。
これらのバリアントで特筆すべき強化点は、複数のネットワークプロトコルにわたる通信能力です。これにより、ネットワーク防御担当者による検出やブロックが格段に難しくなっています。
このマルウェアは30種類を超える固有コマンドに対応しており、攻撃者は侵害したマシンを包括的に制御できます。
WIN_DRVバリアントは、カスタムカーネルドライバーを使用してオペレーティングシステムの深部に自身を埋め込む点で、とりわけ危険性が高いといえます。
このバリアントは専用ドライバーを利用して、ネットワーク接続・実行中プロセス・ファイル・レジストリキーを標準的なセキュリティ監視ツールから隠蔽します。
また同ドライバーはパッシブなバックドアとしても機能し、TCPパケットを密かに傍受して悪意あるコマンドを隠された待ち受けポートにリダイレクトします。このポートはネットワークトラフィックアナライザーには検出されません。
これらのドライバーを展開するにあたり、攻撃者はMicrosoftの正規署名済みアプリケーションを経由して悪意あるファイルをサイドローディングすることでWindowsのセキュリティを回避しています。welivesecurityが報告しています。
一方、WIN_PLUSバリアントにはカーネルドライバーが搭載されていませんが、検出回避のための巧みな偽装が施されています。このバリアントは、Windowsのプリントプロセッサーを装った第1ステージのローダーをインストールすることで動作し、印刷スプーラーサービス内で密かに実行され続けます。
研究者はまた、一部のSprySOCKS展開にUEFIブートキットコンポーネントが含まれている可能性を示す限られた証拠も確認しています。CVE-2023-24932を悪用することで、システムへの深い永続性を実現しているとみられます。
注記: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐために意図的に無害化されています(例:[.])。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してご使用ください。
翻訳元: https://cyberpress.org/fishmonger-expands-c2-channels/
