世界的なサイバースパイ活動で知られる中国寄りのハッカーグループが、アドバーサリー・イン・ザ・ミドル(AitM)攻撃を行うために使用する未公開のネットワークインプラントを展開していることが確認されました。
このグループ「PlushDaemon」は、少なくとも2018年から活動しており、カンボジア、韓国、ニュージーランド、米国、台湾、さらには香港や中国の組織も標的にしてきました。
同グループの主な初期侵入経路は中国製アプリケーションの正規アップデートの乗っ取りですが、2024年5月には韓国のVPN企業IPanyを標的としたサプライチェーン攻撃の犯人であることが特定されました。
2024年に同グループの手法や戦術、手順(TTPs)を調査していたESETの研究者は、PlushDaemonのインフラに属する2つのサブドメインを含むExecutable and Linkable Format(ELF)ファイル「bioset」がVirusTotalに提出されているのを発見しました。
研究者らは、開発者によって内部的に「dns_cheat_v2」と名付けられたこの不審なファイルを分析し、標的ネットワーク内のマシンからドメインネームシステム(DNS)トラフィックを悪意あるDNSノードに転送する新たなAitMツールであることを突き止めました。
これにより攻撃者は、ソフトウェアアップデートのトラフィックをハイジャックノードにリダイレクトし、正規ソフトウェアに悪意あるアップデートをダウンロードさせる指示を与えることができます。
侵入後、PlushDaemonのオペレーターは「LittleDaemon」と「DaemonLogistics」という2つのダウンローダーを投下し、サイバースパイ活動用に設計されたバックドアツールキットを配布します。
「これらのインプラントにより、PlushDaemonは世界中の標的を侵害する能力を持つことになります」と研究者らは記しています。
研究者らはこのツールを「EdgeStepper」とコードネームし、11月19日にレポートでマルウェア分析を公開しました。
「EdgeStepperが侵害されたネットワーク機器に展開される唯一のコンポーネントである可能性は低いことに注意が必要です。残念ながら、侵害チェーンの他のコンポーネントのサンプルは入手できていません」とESETの研究者は記しています。
2024年のIPanyに対するサイバー攻撃では、PlushDaemonが「SlowStepper」とESETが名付けた30以上のコンポーネントを持つWindows用バックドア型マルウェアも使用していたことが観測されました。
翻訳元: https://www.infosecurity-magazine.com/news/plushdaemon-new-malware-china-spy/
