中国のサイバー諜報脅威グループMustang Pandaは、CoolClientバックドアを、ブラウザからログインデータを盗み、クリップボードを監視できる新しい亜種へと更新しました。
Kasperskyの研究者によると、このマルウェアはこれまで未確認のルートキットの展開にも使用されています。ただし、技術的な分析は今後のレポートで提供される予定です。
CoolClientは2022年以降Mustang Pandaと関連付けられており、PlugXやLuminousMothと並んで二次バックドアとして展開されてきました。
更新されたマルウェア版は、ミャンマー、モンゴル、マレーシア、ロシア、パキスタンの政府機関を標的とした攻撃で確認されており、サイバーセキュリティ、クラウドコンピューティング、ITインフラ製品を専門とする中国企業Sangforの正規ソフトウェアを介して展開されました。
以前、CoolClientの運用者は、Bitdefender、VLC Media Player、Ulead PhotoImpactの署名付きバイナリを悪用したDLLサイドローディングによってマルウェアを起動していました。
Kasperskyの研究者は、CoolClientバックドアが侵害されたシステムとそのユーザーに関する詳細(コンピュータ名、OSのバージョン、RAM、ネットワーク情報、読み込まれたドライバーモジュールの説明とバージョンなど)を収集すると述べています。
CoolClientは多段階実行で暗号化された.DATファイルを使用し、レジストリの改変、新しいWindowsサービスの追加、スケジュールタスクによって永続化を実現します。また、UACバイパスと権限昇格もサポートします。
出典: Kaspersky
CoolClientの中核機能は、main.datというファイルに埋め込まれたDLLに統合されています。「起動すると、まずキーロガー、クリップボードスティーラー、HTTPプロキシの認証情報スニファーが有効になっているかを確認します」と、研究者らは述べています。
CoolClientの新機能
システムおよびユーザーのプロファイリング、ファイル操作、キーロギング、TCPトンネリング、リバースプロキシ、動的に取得したプラグインのメモリ内実行といったマルウェアの中核機能は旧版・新版の両方で利用可能ですが、最新の亜種では洗練されています。
最新のCoolClientで完全に新しい点は、クリップボード監視モジュール、アクティブウィンドウのタイトル追跡を行う機能、そして生パケットの検査とヘッダー抽出に依存するHTTPプロキシ認証情報のスニッフィングです。
さらに、プラグインのエコシステムは、専用のリモートシェルプラグイン、サービス管理プラグイン、より高機能なファイル管理プラグインによって拡張されました。
サービス管理プラグインにより、運用者はWindowsサービスの列挙、作成、開始、停止、削除、起動構成の変更が可能になります。一方、ファイル管理プラグインは、ドライブの列挙、ファイル検索、ZIP圧縮、ネットワークドライブのマッピング、ファイル実行など、拡張されたファイル操作を提供します。
リモートシェル機能は、非表示のcmd.exeプロセスを生成し、その標準入力と標準出力をパイプ経由でリダイレクトする別プラグインによって実装されており、コマンド&コントロール(C2)チャネル上で対話的なコマンド実行を可能にします。
CoolClientの運用における新機軸は、ブラウザからログインデータを収集するためにインフォスティーラーを展開することです。Kasperskyは、Chrome(亜種A)、Edge(亜種B)、そして任意のChromium系ブラウザを標的にするより汎用的な亜種Cという、3つの異なるファミリーを記録しました。
出典: Kaspersky
もう一つ注目すべき運用上の変化として、ブラウザデータの窃取と文書の持ち出しが、検知回避のためにGoogle DriveやPixeldrainといった正規の公開サービス向けのハードコードされたAPIトークンを利用するようになっています。
Mustang Pandaはツールセットと運用特性の進化を続けています。先月、Kasperskyは、政府システム上でToneShellバックドアの亜種を展開した新しいカーネルモードローダーについて報告しました。
今月初めには、台湾の国家安全局が、重要インフラを標的とする最も多産で大量の脅威の一つとしてMustang Pandaを挙げました。
