悪名高い中国のハッキンググループが、米中関係、経済政策、国際貿易に関与する組織を新たなフィッシングキャンペーンで標的にしていると、Proofpointが報告しています。
この攻撃は2025年7月と8月に観測されており、従来のマルウェアに頼るのではなく、侵害された環境への持続的なリモートアクセスを確立するためにVisual Studio(VS Code)のリモートトンネルを利用しようとしました。
このキャンペーンは、TA415として知られる中国政府支援のハッキンググループ(別名APT41、Barium、Brass Typhoon、Bronze Atlas、Wicked Panda、Winnti)によるものとされ、2020年に米国で起訴されています。標的となったのは、米国政府、シンクタンク、学術機関です。
7月初旬、この脅威アクターは米中ビジネス協議会を装ったメールを送り、受信者に対して米国と中国・台湾の関係に関する非公開ブリーフィングへの招待を装いました。
その後のメールでは、Proofpointによると、米中戦略競争特別委員会の委員長であるジョン・ムーレナール氏になりすまし、中国への制裁に関する法案の草案について意見を求める内容でした。ウォール・ストリート・ジャーナルは今月初めにこのムーレナール氏のなりすましについて報じましたが、当時は技術的な詳細は明らかにされていませんでした。
フィッシングメールには、既知のクラウドサービス上にホストされたパスワード保護付きアーカイブへのリンクが含まれており、その中にはショートカット(LNK)ファイルと隠しサブフォルダが含まれていました。LNKファイルを実行すると、隠しフォルダ内に保存されたバッチスクリプトと、OneDrive上にホストされたデコイのPDFファイルが実行されます。
このスクリプトの実行により、多段階の感染プロセスが開始され、MicrosoftのサーバーからVSCodeコマンドラインインターフェース(CLI)がダウンロードされ、永続化のためのスケジュールタスクが作成され、GitHubで認証されたVS Codeリモートトンネルが確立されます。
また、このスクリプトはシステム情報やさまざまなユーザーディレクトリの内容を収集し、攻撃者に送信します。
広告。スクロールして続きをお読みください。
最近の攻撃では、このスクリプトはVS Codeリモートトンネルの認証コードも送信し、脅威アクターがそのコードを使って被害者のコンピュータにリモートアクセスし、システムに組み込まれたVisual Studioターミナルを利用して任意のコマンドを実行できるようにしています。
TA415は中国・成都を拠点とし、成都404ネットワークテクノロジーという企業名で民間政府請負業者として活動しており、i-Soonなど他の民間請負業者とも関係があります。
「標的となった多くの組織は、中国の既知の情報収集の優先事項と一致しています。しかし、TA415がこれらの標的に転換したタイミングは、米中間の経済・外交政策関係が複雑に進化し続けている現状を考えると、特に注目に値します」とProofpointは指摘しています。
関連記事: 中国関連ハッカーがウェブトラフィックを乗っ取りバックドアを配布
関連記事: カンボジア、サイバー犯罪の最新取り締まりで1,000人を逮捕
翻訳元: https://www.securityweek.com/details-emerge-on-chinese-hacking-operation-impersonating-us-lawmaker/