Acronis Threat Research Unit(TRU)のサイバーセキュリティ研究者は、ハッカーがニュースの見出しを利用して米国政府関連グループをスパイしていることを突き止めました。複雑なエクスプロイトを使う代わりに、これらの攻撃者ははるかに単純な手口――時事ニュースへの好奇心――に頼っています。
レポートの著者であるIlia Dafchev氏とSubhajeet Singha氏は、このキャンペーンが米国とベネズエラの間で続く政治的緊張を餌として利用していると説明しました。罠は「US now deciding what’s next for Venezuela.zip」というファイルから始まり、これは大きなニュースを使って政府関係者に考える前にクリックさせるという、典型的な手口です。
バックドア戦略
攻撃の技術的側面は、DLLサイドローディングと呼ばれる巧妙な手口に基づいており、ハッカーは安全そうに見えるプログラムの中にウイルスを隠します。このキャンペーンでは、Tencentという企業の音楽プレーヤーを改名して使用し、「Maduro to be taken to New York.exe」と名付けていました。
誰かがその音楽プレーヤーを実行すると、コンピューターはkugou.dllという隠された悪意のあるファイルを開くように騙されます。このファイルは、研究者がLOTUSLITEと名付けたバックドアです。いったん有効化されると、ハッカーは秘密の侵入口を得て、ファイルの窃取、画面の監視、あるいは机に座っているかのようにコマンドを実行できるようになります。
このマルウェアは、Googleがウェブを巡回するために使うツールであるGooglebotを装うことで、姿を見えにくくしようとさえします。盗み取った情報は、アリゾナ州フェニックスにあるIPアドレス172.81.60.97のコンピューターへ送信されます。
Mustang Pandaにつながる手がかり
研究者は、彼らのレポートの中で、ハッカーがいくつか奇妙な手がかりを残していたと指摘しました。コードには、作者が中国人であると主張し、特にロシア人ではないと述べる隠しメッセージが含まれていました。チームは「ローダーは開発成熟度が低い」とも記しており、ニュースが新鮮なうちに攻撃を仕掛けるため、ハッカーが急いでいたことを示唆しています。
これらのパターンに基づき、Acronisのチームは、中国の支援を受けたハッキンググループMustang Panda(別名HoneyMyte)が関与している可能性が「中程度の確度」で高いとみています。同グループは、速報ニュースを利用して迅速なスパイ活動を展開することでよく知られています。
ここでの目的は明らかに諜報であり、金銭を盗むことではなく、政治的・戦略的な情報を収集することにあります。攻撃者は複雑な手法よりも信頼性の高い単純な手法を選び、技術的な派手さよりも任務の遂行を優先しています。
このアプローチは、安定的に情報を得たい国家系グループにとって一般的であり、ニュースに関するたった一通のシンプルなメールでさえ、スパイが政府の機密を覗き見るための強力な道具になり得ることを示しています。
翻訳元: https://hackread.com/mastang-panda-venezuela-news-lotuslite-malware/
