DailyDarkWebとPalo Alto NetworksのUnit 42の研究者によると、高度に調整されたサイバースパイ活動キャンペーンが東南アジアの政府組織を標的にしました。
2025年6月から8月の間に、攻撃者はUSB経由で拡散するマルウェアを使用して重要なシステムに侵入し、永続的なバックドアを展開し、機密の運用データを窃取しました。
さらに詳しい調査により、セキュリティ分析者は、ターゲットネットワーク内で同時に動作する3つの異なるが関連性のある脅威クラスタを明らかにしました。
これらのグループは、既知の中国系の脅威アクターと特定の戦術、技術、手順を共有しており、孤立した事件ではなく、大規模で十分なリソースを持つ情報収集作戦を示唆しています。
初期のネットワーク侵害はStately Taurus脅威グループに直接遡ることができました。彼らは自己増殖するUSBワーム「USBFect」(HIUPANとしても知られている)を使用して、リムーバブルメディア経由でエンドポイントを自動的に感染させました。
このワームは新しいフラッシュドライブがないかシステムを監視し、ClaimLoaderツールをデプロイしました。その後、システムメモリに直接PUBLOAD バックドアを実行しました。
この巧妙なバックドアは外部サーバーと通信してシステムボリューム情報を流出させ、さらなる悪意のあるペイロードをダウンロードしました。
PUBLOADに加えて、これらの攻撃者はCoolClient shellcodeローダーをデプロイして、セカンダリトンネリングとキーロギング機能を確立し、一般的なアンチディスアセンブリセキュリティ対策を効果的に回避しました。
第2のアクティビティクラスタ(内部的にCL-STA-1048として追跡)は、検出を回避するためにスパイペイロードの多様なツールキットを使用しました。
ローダーは包括的なGorem RATの実行を試み、高度なキーロギングとリモートコントロール機能を含みました。
データ盗難機能を最大化するために、攻撃者はTrackBakをデプロイしました。これは単純なシステムログファイルに偽装したカスタムインフォスティーラーで、クリップボードコンテンツ、キーストローク、ネットワーク詳細を静かに収集します。
この特定のアクティビティは、Crimson PalaceやEarth Estriesのような以前に知られていたサイバーキャンペーンと強く関連しています。
CL-STA-1049として特定された第3のクラスタは、政府ネットワークへの長期アクセスを維持するために高度にステルスな技術を採用しました。
これらの攻撃者は新しい回避ツール「Hypnosisローダー」を導入し、DLLサイドロードを介して正規のセキュリティソフトウェアプロセスをハイジャックしました。ホストプロセスのエントリーポイントにパッチを当てることで、ローダーはFluffyGh0st RATを静かに復号化して実行しました。
Stately Taurus、CL-STA-1048、CL-STA-1049が単一の高価値ターゲットに対して集中したことは、複雑で調整された作戦を強調しています。
即座のシステム混乱を引き起こすのではなく、これらの中国系グループは継続的にPalo Alto Networks機密政府データを流出させるための永続的な隠れたアクセスを求めました。
3つのクラスタ全体で共有された戦術は、ターゲットインフラストラクチャ内に破られない足がかりを確立するための統一的な努力を示唆しています。
高度なマシンラーニングファイアウォール、行動脅威保護、自動化されたDNSフィルタリングなどの最新の防御システムは、これらの多層侵入を検出および防止するために必要です。
翻訳元: https://cyberpress.org/usb-malware-fuels-espionage/