ESETによると、中国を拠点とする新たに特定された高度持続的脅威(APT)アクターが、東南アジアおよび日本の政府機関を標的にしている。
少なくとも2023年9月から活動しているこのハッキンググループは、LongNosedGoblinとして追跡されており、グループポリシーを用いてマルウェアを展開し、侵害されたネットワーク内で横方向に移動する点が特徴だ。
LongNosedGoblinの主要なツールの一つは、NosyHistorianと呼ばれるC#/.NETアプリケーションで、攻撃者が被害者のブラウザ履歴を収集できるようにする。
標的が有望だと判断されると、APTはNosyDoorバックドアを展開し、これはコマンド&コントロール(C&C)にMicrosoft OneDriveを使用しているのが確認されている。
このバックドアは、実行チェーンの中でAppDomainManagerインジェクションと呼ばれる「正規ツール悪用(Living-off-the-Land)」手法を用い、またLongNosedGoblinの他のツールはAntimalware Scan Interface(AMSI)を回避できる。
脅威アクターのツールセットには、ブラウザデータの流出に用いるNosyStealer、ペイロードを取得してメモリ上で実行するNosyDownloader、NosyLoggerキーロガー、リバースSOCKS5プロキシ、そしてアプリケーション実行用の引数ランナーも含まれる。
2025年9月以降に観測された新たな攻撃波では、このハッキンググループがグループポリシーを用いてNosyHistorianと、Cobalt Strikeローダーの可能性があるものを配布しているのが確認された。
ESETによると、このAPTはNosyHistorianを利用して侵害されたマシンからChrome、Firefox、Edgeのデータを収集し、追加のペイロードを展開すべきかどうかを判断している。
被害者のうちごく一部のみがNosyDoorバックドアに感染させられており、マシン名、ユーザー名、OSバージョン、現在のプロセスなど、感染システムに関するメタデータを収集するために用いられた。
C&Cから受信したコマンドに基づき、このマルウェアはファイルのダウンロードおよびアップロード、ファイル削除、シェルコマンド実行、ディレクトリ一覧表示、.NETアセンブリの読み込みが可能だ。
LongNosedGoblinはNosyStealerを用いてChromeおよびEdgeのデータをGoogle Driveへ流出させているのが確認されており、またNosyDownloaderを使ってNosyLogger、オープンソースのリバースSOCKS5プロキシReverseSocks5、そして引数ランナーを展開した可能性が高い。
ESETは、LongNosedGoblinがサイバー諜報に注力していると指摘する。同グループの標的はToddyCatと重複しており、ツール群はErudite Mogwaiのものに似ている。
ESETは、LongNosedGoblinとErudite MogwaiのTTPには明確な違いがあるとしているが、複数の中国系脅威アクターによって使用された可能性が高いNosyDoorの亜種を発見した。
翻訳元: https://www.securityweek.com/chinese-apt-longnosedgoblin-targeting-asian-governments/
