Mustang Panda、サイバースパイ活動でZoho WorkDriveを悪用

一見無害に見えるクラウドベースのファイル共有プラットフォームが、最近、高度なスパイ活動の中継拠点として利用されていたことが明らかになりました。中国の脅威アクターとして知られるMustang Panda(マスタング・パンダ)は、インド政府機関およびエネルギー部門を標的とした攻撃を仕掛け、Zoho WorkDriveを侵害済みシステムの指揮統制(C2)に悪用していました。

水力発電および二国間協定を狙った標的型攻撃

サイバーセキュリティの専門家は最近、2件の異なる悪意ある攻撃キャンペーンをこの高度標的型攻撃(APT)グループに帰属させました。これらの作戦は、インドの水力発電インフラ、および台湾との二国間協力協定に関連する組織を意図的に標的としていました。Acronis Threat Research Unitによる包括的な分析によると、攻撃者は政府や業界の公式文書に偽装した悪意あるアーカイブファイルを拡散させていました。しかし、これらのトロイの木馬化されたアーカイブには、SHARDLOADERダウンローダーに加え、MINIRECONおよびZOHOMURKと名付けられた新種のインプラントが密かに仕込まれていました。

悪意あるキルチェーンとDLLハイジャッキング

この巧妙な攻撃のキルチェーンは、DLLハイジャッキング手法に大きく依存していました。被害者は、Solid PDF CreatorやCitrix Receiverのコンポーネントなど、正規の署名済みファイルであると気づかずに実行してしまいます。すると、Windowsオペレーティングシステムが、同一ディレクトリ内に置かれた悪意あるダイナミックリンクライブラリを自動的に読み込んでしまうのです。この巧妙な手口により、SHARDLOADERは信頼されたアプリケーションになりすまし、ホスト環境内で強固な永続性を確立した上で、後続のペイロードモジュールへとシームレスに実行制御を引き渡していました。

MINIRECONインプラントによるリモートアクセス

MINIRECONインプラントは、その後攻撃者に侵害済みマシンへの包括的なリモートアクセスを提供しました。このバックドアは、任意のコマンド実行と双方向のファイル転送を可能にしていました。指揮統制(C2)インフラとの秘密裏の通信には、暗号化されたHTTPS通信の中にカプセル化されたWebSocket接続を利用していました。さらに、ローカルプロキシを経由して通信を行う機能により、悪意ある通信は通常の企業ネットワークトラフィックに紛れ込み、ほとんど気づかれることがありませんでした。

ZOHOMURKによるZoho WorkDriveの武器化

このキャンペーンの中でもとりわけ目を引く要素は、ZOHOMURKの展開です。この高度なマルウェアは、Zoho WorkDriveを巧妙に武器化し、コマンドの伝達とデータ窃取の両方に用いる異例のチャネルとして利用していました。起動すると、このインプラントは攻撃者が管理するアカウント内に被害者ごとのディレクトリを自動生成します。そして、これらのフォルダを継続的に監視してコマンドファイルの到着を待ち受け、指定されたタスクを実行した後、その結果として得られたデータをクラウドリポジトリへと窃取していました。結果として、この仕組みによって悪意あるデータ窃取行為が正規の企業サービスとの何気ないやり取りであるかのように巧みに偽装されていたのです。

インド公共部門における広範な侵害

この包括的な調査を通じて、セキュリティ専門家はインドの公共部門に深く根付いた多数の侵害済みシステムを特定しました。憂慮すべきことに、この中には高位の行政関係者が使用するデバイスも含まれていました。脅威ハンティングチームは、2026年6月12日から6月22日にかけて、この悪意ある活動を実際に観測しています。Acronisは協力体制のもと、関連するすべての侵害指標(IOC)、インフラ情報、および技術的な鑑識結果を速やかにインド・コンピュータ緊急対応チーム(CERT-In)に提供しました。この重要な情報共有は、被害者への通知を迅速化し、標的となったネットワークの早急な復旧を促進することを目的としています。

ネットワーク防御担当者への重要な推奨事項

セキュリティ勧告では、政府機関やエネルギー部門で活動する組織に対し、地政学的なテーマを扱う不審なアーカイブファイルを厳格に精査するよう強く求めています。さらに、ネットワーク防御担当者はHKCU\Software\Microsoft\Windows\CurrentVersion\Runレジストリハイブ内に潜む永続化メカニズムを積極的に探し出し、不審なSolidPDFPcl2Bmpスケジュールタスクを隔離する必要があります。セキュリティチームはC:\ProgramData\IDM\logs\および%LOCALAPPDATA%\Microsoft\VaultCacheの各ディレクトリを徹底的に調査し、異常な痕跡がないか確認すべきです。特に重要なのは、管理者がネットワーク境界を監視し、ブラウザ以外のプロセスからZoho WorkDriveおよびaccounts.zoho.com宛に送信される不正なAPIリクエストがないか注視することです。

翻訳元: https://meterpreter.org/mustang-panda-zoho-workdrive/

ソース: meterpreter.org