Zscalerのフォレンジック専門家は、中国のシンジケートに関連する新たなサイバー攻撃の波を記録しており、湾岸諸国に的を絞っています。このキャンペーンは中東紛争の急激なエスカレーション後の最初の24時間以内に開始され、ミサイル攻撃の恐怖を魅力的な罠として利用することで、現在のニュースサイクルに完璧に適応しました。
この攻撃は、二重の拡張子を持つファイルを隠したZIPアーカイブから始まり、無害なPDFファイルに精巧になりすましていました。その実行により、悪意のあるコンポーネントをダウンロードするという複雑な一連の処理が実行されました。最初に、このアーキテクチャは地下のサーバーからCHMファイルを取得し、その後補助要素を展開しました。特に注目すべきは、バーレーンの米国軍事施設に対するイランのミサイル爆撃を記録した偽のアラビア語ドキュメントが含まれていたことです。この特定のファイルは心理的な囮として無抵抗に展開されました。
その後の段階には、セカンダリショートカットの起動、アーカイブのシステムディレクトリへの深い抽出、および正規のソフトウェアを完璧に模倣するアプリケーションの実行が含まれていました。動的リンクライブラリ(DLL)サイドローディングの悪質な技法を利用して、デジタル掠奪者は悪意のあるDLLを注入しました。このファイルはその後、ホスト内に定着し、プライマリの悪意のあるペイロードを暗号的に復号化しました。
この攻撃の中心的な要素は、悪名高いPlugXバックドアでした。この悪意のあるアーキテクチャは、多層的な暗号化と深く難読化されたアルゴリズムに包まれており、フォレンジック分析を混乱させるために特別に設計されていました。ソースコードは深いコントロールフロー難読化を利用し、API呼び出しを細心の注意を払って隠蔽していました。これは分析の時間的負担を指数関数的に延長し、従来の防御的な仕組みの有効性を大幅に低下させる戦略でした。
PlugXが起動すると、HTTPSおよびDNS-over-HTTPSを含む複数の通信チャネルを介して、侵害されたシステムを完全に支配しました。この地下のバックドアは細かいシステムテレメトリを収集し、ファイルと操作プロセスを絶えず監視し、キーストロークロガー、ネットワーク操作ツール、およびリモートアクセスユーティリティを含むアーセナルの補助モジュール注入を無抵抗に促進しました。
武装化された技法、暗号化キー、および包括的なアーキテクチャコードの厳格なフォレンジック分析は、Mustang Pandaシンジケートに明確に関連する以前のキャンペーンとの深い相似性を明らかにしました。この属性は、シンジケートが地政学的な大惨事に適応する素早さによってさらに裏付けられました。これらの特定のデジタル掠奪者の本質的な特徴です。
このドキュメントは、ぞっとする軌跡を強調しています。デジタル対抗者は現在のニュースサイクルをますます利用して、フィッシング爆撃の壊滅的な有効性を指数関数的に増幅しています。この危険なパラダイムの中で、悪意のあるファイルは緊急の通知として巧妙に偽装され、無警戒な利用者の本能的で即座の反応を利用することを期待して、組織的に増殖されています。
