- Phantom Taurusは、NET-STARマルウェアを使って南アジアおよび中東の外交機関を標的にした
- Unit 42は、戦術・インフラ・戦略的標的からこのグループを中国に帰属させている
- 被害者にはアフガニスタンやパキスタンが含まれ、今後さらに拡大する可能性も
中国政府が支援する脅威アクター「Phantom Taurus」は、中東および南アジアの複数国のメール通信やデータベースを、全く新しいマルウェアで標的にしていることが確認されています。
セキュリティ研究者のUnit 42は、この脅威アクターを数年にわたり追跡しており、技術的指標・標的パターン・戦略的整合性の組み合わせから、攻撃者が中国政府の支援を受けていると結論付けています。
専門家らは、このグループが外務省や大使館、政府機関など、国家による情報活動の典型的な標的を狙っていることを観測しました。
インフラの共有
このグループは、NET-STARと呼ばれるカスタムバックドアマルウェアも使用しており、その高度な手法は国家レベルでしか開発できないものでした。
「NET-STARマルウェアスイートは、Phantom Taurusの高度な回避技術と.NETアーキテクチャへの深い理解を示しており、インターネットに公開されたサーバーにとって重大な脅威となります」と研究者らは説明しています。
Phantom Taurusはまた、既知の中国系APT、特にBackdoorDiplomacyとインフラやマルウェアの特徴、戦術を共有しているようです。C2ドメインやマルウェアローダー、類似したスピアフィッシング手法などから、Unit 42はPhantom Taurusが中国のアクターであると判断しました。
同グループは現在、他の「タウルス」グループ(Iron Taurus、Starchy Taurus、Stately Taurus)と並べられています。Stately TaurusはMustang Pandaとしても知られ、Microsoftのツールやクラウドサービスなどを標的にしてきたことで広く知られる脅威アクターです。
残念ながら、Phantom TaurusがどのようにしてNET-STARを被害者に感染させているのか正確には分かっていません。スピアフィッシングやゼロデイ脆弱性の悪用など、一般的な手法が含まれていると推測されます。分かっているのは、被害者がアフガニスタンやパキスタンにいるということです。
中国は例によって、サイバー攻撃やサイバースパイ活動への関与や不正行為を否定し、逆にアメリカを「世界最大のサイバーいじめ」と非難しています。
出典:The Register
