執筆者
CheckPoint Researchは、中央アジアおよび東南アジア全域の通信組織と政府機関を標的とする新たな悪意あるスパイ活動キャンペーンを発見した。
CheckPointが「Stayin’ Alive」として追跡しているこのキャンペーンは、少なくとも2021年から活動しており、中国のサイバースパイ集団ToddyCatに関連付けられている。
このキャンペーンでは、スピアフィッシングメールを用いてDLLサイドローディング手法によりアーカイブファイルを配布し、AudinateのDante Discoveryソフトウェアにおけるdal_keepalives[dot]dll(CVE-2022-23748)をハイジャックする。
CheckPointはまた、複数のローダーおよびダウンローダーも発見しており、その一部はカザフスタン、ウズベキスタン、パキスタン、ベトナムの著名なアジア組織に対する初期感染ベクターとして使用されていた。
そのうちの1つであるCurKeepは、Zoomによって署名された正規の実行ファイルを実行することで展開され、この実行ファイルがdal_keepalives[dot]dllを読み込む。その後、DLLファイルがCurKeepを読み込む。
その他のツールにはCurLu、CurCore、StylerServが含まれる。いずれもカスタムメイドだ。
「私たちがこのキャンペーンで観測したツールは単純であり、かつバリエーションが幅広いことから、使い捨てで、主に追加のペイロードをダウンロードして実行するために利用されていることが示唆される。これらのツールは、既知のいかなるアクターが作成した製品とも明確なコードの重複がなく、互いにも共通点があまりない」と、CheckPointのレポートには記されている。
そのインフラストラクチャにより、CheckPointの研究者はこのキャンペーンをToddyCatによるものと帰属させた。ToddyCatは、より広範なスパイ活動キャンペーンの一部として、Stayin’ Aliveキャンペーンを実施した可能性が高い。
ToddyCatとは?
ToddyCatは中国に関連する高度持続的脅威(APT)グループで、少なくとも2020年から活動している。同グループは、通信事業者、政府機関、軍事請負業者など、アジアの著名組織を標的にすることで知られている。
同グループは、スピアフィッシングメール、ゼロデイ攻撃、サプライチェーン攻撃など、さまざまな手法で標的システムへのアクセスを獲得する。ToddyCatがシステムへのアクセスを得ると、バックドア、トロイの木馬、キーロガーなど、さまざまなマルウェアを展開できる。
ToddyCatの目的については依然として疑問が残るが、同グループはスパイ活動を動機としているとみられている。同グループは、知的財産、企業秘密、政府文書などの機微なデータを窃取してきたことが知られている。
翻訳元: https://www.infosecurity-magazine.com/news/chinese-apt-toddycat-asian/
