中国と関連するスパイ活動ツールがランサムウェア攻撃で展開されており、中国の国家主体の活動とサイバー犯罪の間に新たなつながりが生じている可能性を浮き彫りにしている。
シマンテックの研究者は、2024年11月にアジアのソフトウェアおよびサービス企業に対して行われたランサムウェア攻撃を分析する中で、この関連性を確認した。この攻撃により、ネットワーク内のマシンがRA Worldランサムウェアで暗号化され、脅威アクターは200万ドルの身代金を要求した。
インシデントの最中、攻撃者は中国関連のスパイ活動アクター、特にMustang Pandaにのみ関連付けられる「特徴的なツールセット」を展開した。
研究者らは、ロシアや北朝鮮を含む国家主体のスパイ活動アクターがランサムウェアグループと協力することは珍しくないと指摘した。これは、収益を増やすことや、標的を侵害するためのツールや専門知識を共有することが動機となっている。
しかし、これはこれまで中国のスパイ活動脅威アクターに結び付けられてきた戦略ではない。
研究者らは「中国拠点のスパイ活動グループに関連するツールは共有リソースであることが多いものの、多くは一般に公開されておらず、通常はサイバー犯罪活動とは結び付けられない」と記した。
ランサムウェアと併せて展開された中国のスパイ活動ツール
このランサムウェア攻撃で使用されたツールセットは、バックドアをインストールすることで標的組織内に永続的な存在を維持するよう設計されている。
脅威アクターは、Palo AltoのPAN-OSファイアウォールソフトウェアにおける既知の脆弱性を悪用して初期アクセスを獲得した。
その後、toshdpdb.exeという正規の東芝製実行ファイルを悪用し、toshdpapi.dllという悪意のあるDLLをサイドロードした。このDLLは、TosHdp.datというファイルに含まれる強力に難読化されたペイロードのローダーとして機能する。
実行されると、このペイロードは現在のフォルダー内にあるtoshdp.datというファイルを探して復号し、その後にランサムウェアが展開された。
復号されたペイロードの分析により、これはPlugXというカスタムバックドアの亜種であることが判明した。この亜種の注目すべき特徴には、暗号化された文字列、動的API解決、制御フローのフラット化が含まれる。
このマルウェアは一般に公開されておらず、中国関連のスパイ活動アクターにのみ関連付けられている。
また、他国拠点のアクターによって使用されたこともない。
同じ侵害後ツールおよび手法が、ランサムウェア事案の前後数か月に行われた複数の中国のスパイ活動攻撃で使用されていた。
これらには、2024年7月に南東ヨーロッパのある国の外務省が侵害された事例や、2025年1月に東南アジアのある国の政府省庁が侵害された事例が含まれる。
ランサムウェアとスパイ活動の重なりを説明する
シマンテックは、ランサムウェア攻撃者が以前から一定期間ランサムウェアに関与していた可能性を示す証拠があると述べた。例えば、このランサムウェア攻撃で使用されたツールの一つはNPSと呼ばれるプロキシツールで、さまざまなランサムウェアのペイロードを展開する中国拠点のアクターであるBronze Starlightと関連付けられている。
研究者らは、この重なりの最も可能性の高い説明は、スパイ活動グループに雇用されているアクターが、雇用主のツールキットを使って副収入を得ようとしていたことだと考えている。
彼らは、ランサムウェアの被害者が戦略的に重要な組織ではなく、スパイ活動の標的と比べるとやや例外的であると指摘した。
さらに、攻撃者は被害者から身代金を回収することに本気で、やり取りに時間を費やしていたように見えるため、侵入の証拠を隠すため、あるいはスパイ活動の侵入のための陽動としてランサムウェアが使われた可能性は低い。
研究者らは「ランサムウェア攻撃が単なる陽動であれば、通常はこうはならない」と指摘した。
翻訳元: https://www.infosecurity-magazine.com/news/chinese-espionage-tools-ransomware/
