TokyoBlackHatNews

gbhackers.com 4分で読了

Evasive Panda APT:AitMとDNSポイズニングによるマルウェア配布

Bronze Highland、Daggerfly、StormBambooという別名でも知られる高度な脅威アクター「Evasive Panda」は、2年にわたるキャンペーンを通じて攻撃能力を増強し、敵対者中間者(AitM)攻撃やDNSポイズニングなどの高度な攻撃手法を展開してきました。

2025年6月の調査によると、同グループは2022年11月から2024年11月まで継続的な活動を維持し、検知回避を目的として進化するマルウェア配布メカニズムを用いて、トルコ、中国、インドの被害者を標的にしていました。

このキャンペーンは、脅威アクターの運用アプローチにおける顕著な進化を明らかにしています。直接的な配布手法に依存するのではなく、Evasive PandaはDNSポイズニングと組み合わせたAitM手法を用いて正規のトラフィックを傍受し、被害者を攻撃者が管理するサーバーへリダイレクトする高度に標的化された攻撃を組織的に実行しました。

攻撃者は、SohuVA、iQIYI Video、IObit Smart Defrag、Tencent QQなどの正規アプリケーション更新を装ったローダーを配布し、馴染みのあるソフトウェアベンダーへのユーザーの信頼を悪用して初期のシステムアクセスを確立しました。

技術的高度化

Evasive Pandaのローダーの高度さは、相当な開発投資を示しています。Windows Template Library(WTL)を用いたC++で記述されており、解析を困難にするために複数の暗号化レイヤーと難読化手法を採用しています。

ローダーはXORベースの復号アルゴリズムを使用して、実行後にのみ設定要素を露出させます。また、システムパスやコマンド実行パラメータを含むすべての重要な文字列は、実行時まで暗号化されたままです。

特に注目すべき点として、攻撃者は正規プロセス内でMgBotインプラントをメモリ上で実行可能にする新しいインジェクターを開発しました。

Image
Webリソースからペイロードをダウンロード.

10年前の署名付き実行ファイル(evteng.exe)とDLLサイドローディング手法を活用することで、同グループは主要ペイロードをディスクに書き込むことなく永続的な常駐を実現しました。このアプローチは検知対象領域を大幅に縮小し、フォレンジック調査を複雑化させます。

DNSポイズニングの仕組みは、このキャンペーンで最も革新的な要素です。攻撃者はdictionary.comを含む正規WebサイトのDNS応答を改ざんし、地理的位置やISPの所属に基づいて被害者のシステムを攻撃者管理のインフラへリダイレクトしました。

マルウェアは、これらの汚染されたドメインからPNG画像に偽装された暗号化ペイロードを取得し、ペイロードの選択は被害者のWindowsバージョンとシステム構成に合わせて調整されます。

感染チェーンは多段階実行を採用しています。初期ローダーがシェルコードを復号し、DNSポイズニングされたトラフィックを介して暗号化された第2段階ペイロードを取得します。

傍受と解析を防ぐため、攻撃者はMicrosoftのData Protection API(DPAPI)とRC5暗号を組み合わせたカスタムのハイブリッド暗号を実装しました。

Image
ハイブリッド暗号を用いてペイロードをディスクに保存する一般的な概要.

このアプローチにより、ペイロードの復号は侵害されたシステム上でのみ行われ、フォレンジック復旧を試みる防御側に対して非対称な優位性を生み出します。

永続性と帰属

一部の侵害システムでは1年以上にわたりアクティブな感染が維持されており、持続的な運用コミットメントを示しています。

攻撃者は複数のコマンド&コントロール(C2)サーバーを何年にもわたり稼働させており、テイクダウン作戦の可能性があっても制御を維持するために意図的なインフラ冗長性を設計していたことが示唆されます。

Image
注入されたMgBotインプラントにおける設定の復号.

Evasive Pandaへの帰属は、過去の作戦との戦術的な一致に基づき、非常に高い確度であるように見えます。

同グループが一貫して用いてきたサプライチェーン侵害、AitM手法、およびウォータリングホール攻撃に加え、設定要素が強化されたMgBotインプラントの再登場は、既知の脅威アクターの行動様式と一致します。

技術的な可視性がある一方で、重要な運用上の空白は残っています。研究者は、Evasive Pandaが大規模にDNSポイズニングを実行するために、どのようにして当初ネットワークインフラを侵害するのかをまだ特定できていません。

考えられるシナリオは2つあります。選択的にISPネットワーク向けのインプラントが展開されたか、あるいは被害者が管理するネットワーク機器(ルーター、ファイアウォール)が個別に侵害されたかです。

このキャンペーンは、Evasive Pandaのツールキットにおける継続的な進化を示しています。新たなローダー開発は、さらなる能力向上が今後も見込まれることを示唆します。

組織は、堅牢なDNS監視、ラテラルムーブメントの可能性を制限するネットワークセグメンテーション、そして多段階シェルコード実行パターンに最適化したエンドポイント検知メカニズムを実装すべきです。

翻訳元: https://gbhackers.com/evasive-panda-apt/

ソース: gbhackers.com
#AiTM(Adversary-in-the-Middle) #APT攻撃 #C2(コマンド&コントロール) #DLLサイドローディング #DNSポイズニング #Evasive Panda #MgBot #サプライチェーン攻撃 #ハイブリッド暗号(DPAPI・RC5) #マルウェア配布

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚