LongNosedGoblin、アジア各国政府へのスパイ活動で発覚

出典：Japan Stock Photography

研究者らがLongNosedGoblinと名付けた、中国の支援を受けた新たな高度持続的脅威（APT）グループが、少なくとも2023年以降、日本政府および東南アジア各国の政府を標的にサイバー諜報キャンペーンを展開している。

同グループは主に、独自に作成したC#/.NETアプリケーションを用いて活動しているという。グループに関する調査結果を公開したESETの研究者によれば、特に注目すべき点は、APTグループがグループポリシーをマルウェアのドロッパーとして利用したこと、さらに標的ネットワーク内でのラテラルムーブメント（横展開）の手段としても用いたことだ。

グループポリシーの正当な用途は、Windows ServerおよびWindows ClientのOS環境において、管理者がセキュリティポリシーを構成・適用し、Active Directory資産へのアクセスを管理するためのツールである。

「攻撃者がグループポリシー経由でマルウェアを展開できるということは、ドメインコントローラーへのアクセスとドメイン管理者資格情報を入手していることを意味します」と、ESETのシニアマルウェア研究者であるAnton Cherepanov氏は述べた。「これは影響を受けた組織にとって重大な侵害を示します」

これまでのところ、LongNosedGoblin APTグループが主張する被害者は10件未満だとESETは述べており、Cherepanov氏は「このAPTグループは中程度の高度さを示していると考えています」と付け加えた。

NosyGoblinの特注ツール群には、ESETチームがNosyHistorianと名付けた、ブラウザ履歴を覗き見るためのマルウェアも含まれる。NosyHistorianが標的をさらに追跡する価値があると判断すると、NosyDoorと呼ばれるバックドアを投下する。アナリストらは、NosyDoorが同様に中国寄りの複数のAPTグループによっても使用されている可能性があるとみている。

報告書によれば、NosyDoorはコマンド＆コントロール（C2）サーバーとしてMicrosoft OneDriveを含むクラウドサービスを利用する。

LongNosedGobinは、NosyDoorの偵察活動に続くためのサイバー諜報ツール群を開発している。

「2024年1月から3月にかけて行った当初の調査の過程で、NosyHistorianの影響を受けた被害者を多数発見しましたが、そのうちNosyDoorによって侵害されたのはごく一部でした」とアナリストらは述べた。「NosyDoorのドロッパーの一部サンプルには、特定の被害者のマシンにのみ動作を限定するための実行ガードレールさえ含まれていました」

LongNosedGoblinのサイバー諜報マルウェア一式 

NosyDoorを追跡した結果、チームはさらに多くの悪性コードを発見した。

「その後、被害者のマシン上でさらに未知のマルウェアを特定しました。ブラウザデータを流出させるNosyStealer、ペイロードをメモリ上にダウンロードして実行するNosyDownloader、キーロガーのNosyLogger、リバースSOCKS5プロキシのような他のツール、そして引数として渡されたアプリケーションを実行するアーギュメントランナー（引数ランナー）もありました。これは、音声と映像をキャプチャするために、恐らくFFmpegであるビデオレコーダーを実行するのに使われていました」

さらなる分析により、LongNosedGoblinが2024年を通じて東南アジアでNosyDownloaderを広範に使用していたことが明らかになった。報告書によれば、ESETは2024年12月までに、日本政府を標的とした更新版も確認したという。

LongNoseGoblinは、過去に発見された2つのAPTグループ、ToddyCatおよびErudite Mogwaiといくつかの類似点を共有しているが、ESETチームは活動に十分な相違点を見いだし、これは新たなツールと戦術を備えた新規グループであると判断した。

「Erudite MogwaiとLongNosedGoblinが同一であることは確認できません。両グループのTTP（戦術・技術・手順）には明確な違いがあるためです」と報告書は述べている。「特に、Erudite Mogwaiに関する調査では、マルウェア展開のためにActive Directoryのグループポリシーを悪用することには触れられていません。これはLongNosedGoblinの作戦にかなり特有の手法です」