2025年6月から8月にかけて、攻撃者がUSBで拡散するマルウェア、複数のRAT、ローダー、およびカスタムスティーラーを使用して東南アジアの政府機関を標的とした、複数クラスタからなるサイバーエスピオナージ作戦。
アナリストは、USBFect(別名HIUPAN)という、リムーバブルドライブを通じて拡散し、横展開のためにPUBLOADバックドアを展開するUSBから発生するマルウェアを初期段階で観察しました。
さらなるテレメトリにより、CL-STA-1048およびCL-STA-1049というラベル付けされた、同じ被害者に対して並行して動作する2つの追加の異なるアクティビティクラスタが明らかになりました。
3つのクラスタは、Crimson Palace、Earth Estries、Unfading Sea Hazeを含む、中国系の脅威アクティビティに関する公開報告のための重複する戦術、技術、および手順を共有しており、演算子間の共通の戦略的利益および可能な調整を示唆しています。
Unit 42の調査はStately Taurusにリンクされたアクティビティを追跡することで開始され、2025年6月1日から8月15日まで、東南アジアの政府ネットワーク内で実施されました。
混乱を引き起こすのではなく、攻撃者は政府環境全体での長期的なアクセスと情報収集に焦点を当てているようでした。
USBFectとPUBLOAD
Stately Taurusにリンクされたクラスタは、USBFectに依存して、感染したUSBメディアを経由してエンドポイント間を移動し、ディスク上のコンポーネントをステージングしました。
USBFectはそのモジュールをインストールし、新しいリムーバブルまたはホットプラグ可能なドライブを監視し、それらのデバイスにそれ自体をコピーします。これは、HIUPANファミリーの以前の説明と一致する動作です。
存在すると、USBFectはClaimLoaderをロードします。ClaimLoaderはシェルコードローダーであり、PUBLOADバックドアを復号化し、メモリ内で実行して、TCPでコマンドアンドコントロールを確立します。
侵害されたシステムでは、PUBLOADは、ボリュームデータ、コンピュータ名、ユーザー名などのホスト情報をXORループを使用して暗号化し、偽のTLSヘッダーを付けてC2に送信します。
同じ環境でのStately Taurusアクティビティには、CoolClientも含まれていました。CoolClientはトンネリングとスティーリング指向のツールであり、シェルコードローダーを隠すために重い逆アセンブリ対策を使用し、ファイルアップロード、削除、トンネリング、キーロギングなどの機能をサポートしています。
研究者によると、CoolClientの特定の逆アセンブリ対策はUSBFect/HIUPANで見られたものと一致し、Stately Taurusへの属性を強化しています。
オープンソースのC++ライブラリHP-Socketは、複数のC2プロトコルと、クライアント/サーバーの双方向接続をサポートしています。
CL-STA-1048クラスタは、複数のペイロードをテストし、検出を回避するように設計されたエスピオナージツールキットを展開しました。これはXDR防御をバイパスする試みである可能性があります。
Unit 42は、mscorsvw.exeを介して注入されたEggStremeFuelと呼ばれる軽量のTCPバックドアを観察しました。このバックドアはRC4暗号化された構成をブラウザのクッキーファイルに保存し、ファイル操作、リバースシェル、動的C2更新のコマンドをサポートしています。
約20分後、Masol RATが同じホスト上にWindowsサービスDLLとして表示され、AES暗号化されたHTTP POSTで通信し、任意のコマンド実行とファイル転送をサポートしています。
クラスタはまた、TrackBakをドロップしました。TrackBakは簡単な情報スティーラーであり、Microsoft Edgeログになりすまし、キーストローク、クリップボードの内容、ネットワークの詳細、および接続されたドライブのファイルを収集します。
MasolおよびEggStremeツーリングは両方とも、Earth estriesやCrimson Palaceなどの中国系キャンペーンに以前に関連付けられており、Masolはpre-NQアネLinuxバックドアとコードレベルの重複を共有しています。
並行して、EggStreme Loaderが実行されました。これは、DarkLoadLibraryとlibpecovを使用してGorem RATをメモリに反射的にロードする多層ローダーであり、キーストローク、ウィンドウタイトル、クリップボードデータをローカルキャッシュファイルに記録するキーロガーも含まれています。
これらの技術的リンクと選択された被害者の特性により、CL-STA-1048が中国系のエスピオナージアクターによって、またはそれに代わって運営されているという評価が強化されます。
Hypnosis ローダーとFluffyGh0st
第3のクラスタであるCL-STA-1049は、FluffyGh0st RATを展開するためのステルスDLLサイドローディングに焦点を当てました。2025年8月1日から、Unit 42は、セキュリティ製品のインストールディレクトリから正規のBitdefenderの実行可能ファイル(seccenter.exe)によってサイドローディングされた、Hypnosis loaderという名前の悪意のあるDLLを観察しました。
ホストプロセスのクラッシュを回避するために、Hypnosis は本物のsystem version.dllへのエクスポートをプロキシし、プロセスエントリポイントを無限スリープループにパッチし、新しいスレッドがLoadLibrary経由で最終ペイロードbdusersy.dllを復号化およびロードします。
テレメトリは、bdusersy.dllが乗っ取られたタイ企業ドメインでホストされているインフラストラクチャと通信していることを示し、関連するサンプルとimphashリンクはこのペイロードをFluffyGh0stと関連付けました。
FluffyGh0stはGh0st RATファミリーのカスタマイズされたバリアントであり、以前はBitdefenderによって中国系グループUnfading Sea Hazeに属していると属性付けられており、Crimson Palace Cluster Bravoアクティビティでも観察されています。
これは感染したシステムのリモートコントロールを提供し、RC4暗号化され、LZNT1で圧縮されたプラグインを通じて機能を拡張でき、C2サーバーから取得されます。
Palo Alto Networksは、顧客がAdvanced WildFire(マルウェア分析)、Advanced URL Filtering(URL フィルタリング)、Advanced DNS Security(C2破壊)などのセキュリティサービス、およびCortex XDRおよびXSIAMプラットフォーム(統一検出と対応用)を通じて、このアクティビティの多くを検出およびブロックできることに注目しています。
東南アジアの政府およびその他の高価値セクターの組織は、USBの使用ポリシー、DLLサイドローディング露出、およびこれらのTTPと一致する異常なローダー、RAT、インフォスティーラーのEDRカバレッジを確認する必要があります。
翻訳元: https://gbhackers.com/hackers-deploy-usb-malware/
