Google Threat Intelligence Group(GTIG)の報告によると、中国関係のサイバースパイグループがウェブトラフィックを乗っ取り、外交官やその他の組織にPlugXバックドアを感染させています。
このキャンペーンはUNC6384に帰属されており、Mustang Panda(Basin、Bronze President、Earth Preta、Red Delta、Temp.Hexとしても追跡)と関連していると考えられています。2025年3月に特定され、悪意のあるペイロードをソフトウェアやプラグインのアップデートに偽装していました。
攻撃の一環として、攻撃者はキャプティブポータルリダイレクト(インターネットアクセスを許可する前にログインページなどのウェブページに最初に誘導するネットワーク設定)を利用し、StaticPluginマルウェアダウンローダーを配布しました。これにより、PlugXバックドアのローダーがメモリ上に展開されます。
「この多段階の攻撃チェーンは、有効なコード署名証明書、敵対者中間者(AitM)攻撃、間接的な実行技術など、高度なソーシャルエンジニアリングを活用して検知を回避しています」とGTIGは説明しています。
攻撃は、被害者のブラウザがキャプティブポータルの背後にいるかどうかを確認することから始まります。例えばChromeにハードコードされている「gstatic.com」ドメインなどです。
Googleによると、UNC6384は標的ネットワーク上の侵害されたエッジデバイスを利用してAitM攻撃を仕掛け、被害者をマルウェア配布のために自分たちが管理するランディングページにリダイレクトしていました。
次に、複数のソーシャルエンジニアリング技術を使って被害者にソフトウェアアップデートが必要だと信じ込ませ、Adobeプラグインのアップデートを装ったマルウェアダウンローダーをダウンロードさせるよう誘導します。
偽のインストーラーは多段階の展開チェーンを開始し、検知を回避しつつステルス性を維持し、最終的にバックドアの実行に至ります。
広告。スクロールして続きをお読みください。
StaticPluginマルウェアダウンローダーは、Chengdu Nuoxin Times Technology Co., Ltd.に対してGlobalSignから発行されたデジタル証明書で署名されており、エンドポイントのセキュリティ対策を回避するのに役立っています。
GTIGによると、少なくとも25の他のマルウェアサンプルがこの企業に発行された証明書で署名されており、さまざまな中国のAPTによる攻撃で使用されています。これらのうち2つのキャンペーンは、新たに特定されたUNC6384の攻撃と類似点を示しています。
StaticPluginはDLLサイドローディングを通じてCanonStagerマルウェアローダーをメモリ上で実行し、これがさらにさまざまな正規のWindows機能を悪用して最終ペイロードであるPlugXの亜種(UNC6384が攻撃でよく使用するもの)を実行します。
このバックドアはシステム情報を収集し、コマンド&コントロール(C&C)サーバーからファイルのアップロードやダウンロードができ、リモートコマンドシェルも実行します。
「AitMのような高度な技術と有効なコード署名、重層的なソーシャルエンジニアリングの組み合わせは、この脅威アクターの能力を示しています」とGTIGは指摘し、中国のAPTが検知回避戦術にますます注力していることを付け加えています。
関連記事: 中国APT Mustang Pandaがツールを更新・拡張
関連記事: 新たな研究がVPNアプリの関連性とセキュリティ上の欠陥を指摘
関連記事: 「エッジ」に依存する攻撃手法
翻訳元: https://www.securityweek.com/china-linked-hackers-hijack-web-traffic-to-deliver-backdoor/