Evasive Panda(Bronze Highland、Daggerfly、StormBambooとしても追跡されている)として知られる中国のハッキンググループは、近年でも最も高度かつ長期にわたるサイバーキャンペーンの一つを実行し、被害者のシステムにひそかに感染させ、ほぼ2年にわたって支配を維持しました。カスペルスキー研究所の新たな調査が明らかにしたところによると、この作戦は2022年11月から2024年11月まで続き、卓越した精密さ、ステルス性、そして高度な技術力が特徴でした。
攻撃者は特に、いわゆる中間者(MitM)攻撃に重点を置きました。これは、信頼されたアプリケーションの正規アップデートを装って、被害者に悪意あるコードを配布する手法です。キャンペーンを通じて、ハッカーはストリーミングサービスを含む広く利用されているソフトウェアのアップデートを改ざんし、その過程でマルウェアローダーを密かに埋め込みました。いくつかの事例では、DNS応答の改ざんに依存していた可能性があり、被害者のシステムが正規のアップデートサーバーではなく、攻撃者が管理するインフラへ接続するよう誘導されていました。
偽のアップデートは、SohuVAやiQIYI Videoといった人気アプリケーションのほか、数百万台のコンピュータにインストールされているユーティリティやメッセージングクライアント向けにも作成されました。悪意あるコードは正規ソフトウェアのディレクトリ内に慎重に配置され、アプリケーション自身のサービスによって起動されるため、長期間にわたり検知されずに潜伏できました。
このキャンペーンを特徴づける要素の一つは、解析と検知を大幅に困難にするよう設計された新開発のローダーでした。これは多段階アーキテクチャを採用しており、ペイロードの各コンポーネントは暗号化された形で保存され、特定の条件が満たされた場合にのみ取得されます。設定データ、文字列、さらにはファイル名までも暗号化によって隠蔽され、マルウェアは完全にシステムメモリ上で実行されるため、ディスク上に従来型の痕跡をほとんど残しません。
攻撃の最終段階では、オペレーターはよく知られている一方で現在も進化を続けるスパイ活動モジュールMgBotを展開します。これは、署名付きで一見無害な実行ファイルを用い、svchost.exeなどの正規のWindowsプロセスへのコードインジェクションによって実現されます。こうした手法により侵入は数か月、場合によっては数年にわたり、静かに持続します。
Evasive Pandaはさらに、ハイブリッド暗号化の使用によってインフラを保護しました。ペイロードの一部は、被害者固有のマシンに紐づくネイティブのWindows機構を用いて暗号化されます。その結果、傍受されたファイルは他のシステムでは復号や解析ができず、セキュリティアナリストや研究者の作業を大幅に困難にします。
テレメトリデータによれば、トルコ、中国、インドのユーザーが影響を受け、一部のシステムは1年以上にわたって侵害されたままでした。このキャンペーンの規模と期間は、攻撃者側に相当なリソースがあり、意図的で戦略的なアプローチを取っていたことを示しています。
研究者は、この作戦を高い確度でEvasive Pandaによるものと結論づけています。手法とツールが、同グループの過去に文書化された活動と密接に一致しているためです。新たなローダーや難読化手法が導入されたにもかかわらず、MgBotは攻撃の最終段階であり続けています—ただし、設定は更新され、機能は拡張されています。
専門家は、この作戦がサイバースパイ活動の進化を鮮明に示していると指摘します。攻撃者は、信頼されたアプリケーションやネットワークインフラ、さらには防御目的のシステム機構までも、ユーザー自身に対して武器化する傾向を強めています。あらゆる兆候から見て、このキャンペーンが最後である可能性は低く、新たなツールの出現は、Evasive Pandaが将来さらに複雑な作戦に備えていることを示唆しているのかもしれません。
翻訳元: https://meterpreter.org/shadow-updates-evasive-pandas-two-year-espionage-spree-revealed/
