国際当局の協力のもと、 PlugXワームを標的とした画期的なマルウェア駆除キャンペーンが実施されました。
Sekoiaの脅威検知・リサーチチームが主導し、この作戦は複数国にわたる侵害システムの駆除を行いました。
Mustang Pandaとの関連が指摘されることの多いPlugXワームは、感染したフラッシュドライブを介して拡散し得るため、非常に広範に蔓延します。2023年に重要なコマンド&コントロール(C2)サーバーを掌握した後、Sekoiaの研究者であるCharles Meslay氏とFélix Aimé氏はマルウェアを分析し、2つの潜在的な駆除方法を提案しました。
それらには自己削除コマンドと、システムおよび接続されたドライブをクリーンアップするための、より高度なコード実行手法が含まれていました。このキャンペーンでは主に、リスクを軽減するため、より簡便で侵襲性の低いアプローチが採用されました。
支援を求める公開呼びかけに応じて、34カ国が侵害ネットワークを特定するためのシンクホールログを要請し、22カ国が能動的な駆除に関心を示しました。
最終的に、パリ検察庁およびフランス国家憲兵隊サイバーユニットの監督の下、10カ国で駆除作戦が実施されました。
世界利用のための駆除インターフェース
運用を効率化するため、Sekoiaはわずか1週間で専用の駆除ポータルを開発しました。このプラットフォームにより、参加国はログインして感染資産に関する詳細な統計にアクセスし、特定のネットワークやIPレンジを選択して駆除キャンペーンを開始できました。
このプロセスは、影響を最小限に抑えることを確実にしました。IPアドレスが事前定義された基準に一致した場合、シンクホールは小さな駆除ペイロードを送信し、作業を記録しました。
キャンペーン期間中、59,475件のペイロードが5,539のIPアドレスに送信されました。
主権的サイバーセキュリティの取り組みについて詳しく読む:Europol、詐欺師に打撃となる大規模オンライン詐欺プラットフォームを解体
法的および技術的課題
技術的には比較的単純である一方で、このキャンペーンは重大な法的複雑性を浮き彫りにしました。国際法の遵守を維持するうえで、法執行機関および司法当局の積極的な関与が不可欠でした。
この協力は、将来の駆除活動に向けた前例も築き、主権的サイバーセキュリティ・パートナーシップの可能性を示しました。
翻訳元: https://www.infosecurity-magazine.com/news/global-campaign-targets-plugx/
