出典:Trevor Mogg via Alamy Stock Photo
新たに発見された中国の高度な持続的脅威(APT)が存在し、モンゴル政府をターゲットにしています。
「GopherWhisper」というグループが初めて公開で説明されていますが、実際にはサイバー脅威の領域では新しくありません。内部チャットログから判断すると、2023年11月以降、様々な活動を行っています。
GopherWhisperは攻撃の洗練さで注目を集めることはありません。それは主に2つの点で自らを区別しています:異なるバックドアを多数使用し、それぞれ異なるコマンド・アンド・コントロール(C2)の手段を活用し、他のサイバー脅威アクターがめったにターゲットにしない国に重点を置いていることです。ESETの研究者は、モンゴル政府の1つの機関内の12システムにバックドアを設置したことを発見し、証拠はさらに多くのモンゴルの被害者が影響を受けた可能性があることを示唆しています。
GopherWhisperのバックドア
2025年1月2日、ESET研究者は2つのマルウェアサンプルを発見しました:バックドア「LaxGopher」とそのインジェクター「JabGopher」です。その時点で、この脅威アクターがどのようにその被害者を攻撃していたかについて、かなりよい考えを持っていたと合理的に期待できます。
しかし、その数日後、LaxGopherから回復したC2データを通じて、彼らは2番目のバックドア「CompactGopher」を発見しました。その数週間後、1月22日に、さらに別のバックドア「RatGopher」が現れました。3月5日は4番目のバックドア「BoxOfFriends」とそのローダー「FriendDelivery」を発掘しました。そして3月24日には「SSLORDoor」がありました。
これらのバックドアはそれぞれ小さな技術的な方法で自らを区別していますが、主な違いはC2にどのような手段を使用しているかです。それぞれ人気のあるメインストリームのクラウドホスト型サービスを悪用して、ターゲット機械にデータを送受信します。LaxGopherはSlackを使用し、RatGopherはDiscordを使用します。BoxofFriendsはMicrosoft Outlookのメールドラフト経由で同じ種類の通信を管理します。SSLORDoorはサービス型ソフトウェア(SaaS)プラットフォームを悪用していません、そしてCompactGopherは技術的にはC2ツールではありません、公開ファイル共有サービスfile.io経由でファイル流出のみを管理しているためです。
GopherWhisperが同じ基本的な料理の5つの異なるバージョンを作ることを強いられた理由は不明です。そうすることで、C2方法のいずれかが発見またはブロックされた場合、より簡単にピボットすることができた可能性があります。あるいは、A級のスパイツールを構築できない場合、複数のC級オプションを持つことで十分である可能性もあります。
「彼らは短期間に多くの異なるカスタムバックドアを使用する方法で非常に生産的です」と、ESETのシニアマルウェア研究者Mathieu Tartareは述べています。しかし、彼はそのコメントを修飾し、「これは特に高度なグループとは言えません」と付け加えています。最近の人気のあるクラウドベースのサービスを悪用する多くの他のバックドアと比較すると、GopherWhisperのツールセットについて何も特に印象的なものはありません。
より重要なことに、Botconf 2026でのプレゼンテーションで、ESETのマルウェア研究者Eric Howardは「彼らの「ダウンロード」ディレクトリには「RATの書き方」を含む興味深いファイル名が含まれており、これらのオペレーターはマルウェア開発に新しい可能性があると信じるに至りました」と述べています。
モンゴルのサイバー脅威の状況
モンゴルは世界で最も能力のあるサイバー大国2つの間に挟まれている不運に見舞われています。
Tartareの観点から、「モンゴルでは、私は排他的ではありませんが、主に中国とリンクされたグループが組織をターゲットにしています。私はそれが必ずしもウクライナとロシアのようではないと言いますが、彼らはかなり大きくターゲットにされています[1つの国によって]」。時間とともに、より著名なケースには、2023年から2024年のRedDeltaキャンペーン、2020年の帰属不明のCOVID関連キャンペーン、およびAPT27(エミッサリーパンダとも呼ばれる)による国家データセンターに対するキャンペーンが数年前にあります。注目すべきことに、これら3つのキャンペーンはすべて政府部門をターゲットにしていました。
モンゴルのUB Postによって報告されたように、しかし、モンゴル政府のデータは、国内の悪意のあるサイバー活動の圧倒的な量がロシアから来ており、米国が遠い2番目であることを示唆しています。ロシアからのAPT攻撃はそれほど頻繁ではありませんが、2023年と2024年に、Google研究者はロシアの脅威アクターAPT29(Midnight Blizzardとも呼ばれる)がモンゴル政府のウェブサイトを悪用してウォーターホール攻撃を行い、通行人のデバイスを監視ウェアに感染させていることを発見しました。これはモンゴルが2つまたは3つの敵だけを持っていると言うわけではなく、アジア大陸全体のより広いスパイキャンペーンに時々巻き込まれています。
モンゴルの国家安全保障評議会の戦略研究所(ISS)、ウランバートル拠点の政府シンクタンクによると、モンゴルは2024年に160万件の総サイバー攻撃とサイバーインシデントを記録し、そのうち13,061件はサイバー犯罪を伴い、2,540万ドルの損害をもたらしました。政府は近年、その問題を抑制するために機能してきました、最も顕著には2021年のサイバーセキュリティ法と国家サイバーセキュリティ戦略を通じて、2023年1月に承認されました。
あるISS著者が昨年書いたように、「モンゴルはデジタル化のグローバルトレンドに対応しようとしていますが、私たちのサイバーセキュリティは多くの課題によって圧迫されており、解放するために大規模な介入が必要です。モンゴルは進歩を遂げていますが、サイバーセキュリティの脅威は国境を知りません。」
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/chinese-apt-abuses-cloud-tools-spy-mongolia
