コンテンツにスキップするには Enter キーを押してください

中国、キャプティブポータルを乗っ取りアジアの外交官をスパイ

投稿日 2025年8月28日

中国ドラマ『借りた銃』の一場面

出典:Imaginechina Limited(Alamy Stock Photo経由)

中国の国家系ハッカーが、キャプティブポータルのチェックを乗っ取り、Adobeソフトウェアを装ったマルウェアを配布していました。

Googleの研究者は、この活動をMustang Panda(別名:Bronze President、Stately Taurus、TA416)に関連するスパイグループに帰属させており、UNC6384と呼んでいます。この脅威アクターは、特に東南アジアの外交官や、世界中の他の未特定の組織を、今年の3月から7月頃にかけて標的にしていたようです。

Googleの脅威インテリジェンスグループ(GTIG)のシニアセキュリティエンジニア、パトリック・ウィッツェル氏によると、約24人の被害者が侵害された可能性が高いとのことです。しかし、GTIGはGoogle Chromeユーザーのみを調査したため、「観測できなかっただけで、他のブラウザのキャプティブポータルでもこの乗っ取り手法を再現できるため、さらに多くの被害者が標的になった可能性がある」と述べています。

Mustang Pandaの感染チェーン

攻撃の流れは、中国の高度持続的脅威(APT)活動の定番であるエッジデバイスの侵害、ダイナミックリンクライブラリ(DLL)のサイドローディング、そして広く使われているPlugXマルウェアなどを巧妙に組み合わせていました。しかし、攻撃の始まり方はやや珍しいものでした。

デバイスが新しいネットワークに接続したり、ネットワークを切り替えたりすると、ブラウザはそのネットワークが自由に利用できるか、あるいはキャプティブポータルが表示されるかを確認します。キャプティブポータルとは、飛行機やホテルなどでWi-Fi接続時に表示されるログインページのことです。

Mustang Pandaの最新キャンペーンのトリックは、ユーザーとキャプティブポータルチェックの間に割り込むことでした。Googleの研究者によると、ハッカーは標的のネットワーク内のエッジデバイスを感染させ、それを使ってGoogle Chromeブラウザによるチェックを傍受していたと考えられます。感染したエッジデバイスを通じて、攻撃者はユーザーを自分たちが管理するウェブサイトにリダイレクトしました。

その悪意あるランディングページは空白で、ページの内容を表示するにはプラグインをインストールする必要があるという通知だけが表示されていました。不審に見えるかもしれませんが、そのサイトにはLet’s Encryptが発行した有効なTLS/SSL証明書がありました。これにより、ユーザーはHTTPSで接続でき、「この接続はプライベートではありません」といったブラウザのセキュリティ警告が表示されなくなっていました。

フィッシング対策ワーキンググループ(APWG)によると、現在フィッシングサイトの90%以上がSSL/TLS証明書を利用しており、不当な信頼性を得ています。ウィッツェル氏は、悪用された証明書は失効させることができ、Let’s Encryptは証明書の悪用報告を推奨していると補足します。また、Googleセーフブラウジングは、有効なTLS証明書の有無にかかわらず悪意あるウェブサイトをブロックします。

フィッシングに引っかかったユーザーは、Adobeプラグインのアップデートのように見えるものをダウンロードしてしまいます。また、ダウンロードした実行ファイルをMicrosoftの標準セキュリティ警告を回避して実行する手順が書かれたウェブページも表示されました。

さらに巧妙に見せかけるため、実行ファイルを起動すると「インストール」または「キャンセル」の選択肢が表示されました。しかし、これは全て見せかけで、どちらのボタンを押しても、すでにデバイス上で動作しているマルウェアには何の影響もありませんでした。

Mustang Pandaの偽インストールページ

出典:Google

PlugXの投下

悪意あるサイトと同様に、最初の段階のマルウェア「STATICPLUGIN」も有効なコード署名証明書を持っていました。これにより、デフォルトで有効な署名ファイルを信頼するエンドポイントセキュリティツールの一部を回避することができました。

STATICPLUGINに署名した組織「成都诺信时代科技有限公司(Chengdu Nuoxin Times Technology Co. Ltd.)」は、2023年1月以降、少なくとも25種類の既知のマルウェアサンプルに署名しており、その多くはMustang Panda以外の中国系APTとも関連しています。この組織が攻撃者に知らずにコード署名に利用されているのか、それとも中国のサイバースパイ活動の隠れ蓑なのかは不明です。

その署名によって得られた権限で、ダウンローダーは「CANONSTAGER」というランチャーを投下しました。CANONSTAGERは、複数の正規のWindows機能を悪用し、APIハッシュ化でシステムコールを隠し、解決した関数アドレスをスレッドローカルストレージ(TLS)配列に保存していました。TLS配列はこのようなデータを保存する場所としては一般的でないため、これらの関数はサイバーセキュリティ分析者やそのツールに見落とされやすくなっていました。ランチャーの役割は、暗号化された最終ペイロード、つまりGoogleが「SOGU.SEC」と追跡している中国製バックドアPlugXの亜種を導入することでした。

「APIハッシュ化、TLS配列の使用、ウィンドウプロシージャやメッセージキューによるコード実行の組み合わせは、非常に巧妙かつ異例です」とウィッツェル氏は強調します。「このような手法を組み合わせてコードを隠し、ステルス性を保つマルウェアを見るのは初めてです。」

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/china-hijacks-captive-portals-spy-asian-diplomats

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です