セキュリティ研究者は、アジアのギャンブル企業を標的とする新たな中国の諜報キャンペーンを確認しており、Bronze Starlightグループの犯行である可能性が高いとみています。
SentinelLabsは、脅威アクターがDLLハイジャックの脆弱性を抱えるAdobe Creative Cloud、Microsoft Edge、McAfee VirusScanの実行ファイルを悪用し、標的マシンにCobalt Strikeのビーコンを展開していることを明らかにしました。
また、シンガポールのVPNベンダーPMG PTEから盗まれたコード署名証明書も使用しています。これは中国のAPTグループがよく用いる一般的な手口だと、同レポートは指摘しています。
SentinelLabsは、「標的設定、使用されたマルウェア、C2インフラの具体的特徴」が、Bronze Starlightを示していると述べました。Bronze Starlightは諜報活動に注力する中国のAPTグループで、しばしば注意をそらす目的でランサムウェアを利用します。
アジアにおける中国の攻撃について詳しく読む:中国拠点のハッカーがUSBベースのマルウェアで東南アジアを標的に
しかし、こうしたケースでは帰属(アトリビューション)が難しいと、同ベンダーは認めています。
「観測された指標があるにもかかわらず、正確なクラスタリングは依然として困難です。中国のAPTエコシステムは、グループ間でマルウェアやインフラ運用プロセスが広範に共有されており、現時点の可視性では高い確度でのクラスタリングが難しくなっています」とレポートは述べています。
「当社の分析により、Bronze Starlightと他の中国拠点アクターとの間で収束点を示す過去のアーティファクトが見つかりました。これは、密接に連携するグループで構成された中国の脅威エコシステムの複雑さを示しています」
このキャンペーンで使用されたマルウェアとインフラは、ESETが検知したOperation ChattyGoblinに関連する同一の活動クラスターの一部である可能性が高いとみられます。同キャンペーンでは、トロイの木馬化されたチャットアプリが用いられ、東南アジアのギャンブル企業が標的にされました。
中国のアクターがこの分野を狙うことには、戦略的な理由があるようです。
「中国がマカオを拠点とするギャンブル産業を取り締まった後に繁栄した東南アジアのギャンブル産業は、同地域における中国の関心の焦点となっており、とりわけ中国国内で関連活動を監視し対抗するためのデータ収集が重視されています」と、SentinelLabsは説明しています。
翻訳元: https://www.infosecurity-magazine.com/news/chinese-hackers-dll-hijacking/
