これまで文書化されていなかった中国系の脅威アクター集団がモンゴル政府機関をターゲットにし、Discord、Slack、Microsoft 365 Outlookなどの一般的なコミュニケーションプラットフォームを使用して作戦を管理し、データを盗んでいたことが研究者の調査により判明しました。
サイバーセキュリティ企業ESETの研究者によってGopherWhisperと名付けられたこのグループは、2023年11月以降活動しており、2025年1月にモンゴル政府機関のネットワークで新たに発見されたバックドアが見つかったことで特定されました。
LaxGopherと名付けられたこのマルウェアは、同組織に属するおよそ12台のシステムに展開されたと、スロバキアのサイバーセキュリティ企業は木曜日に発表したレポートで述べています。研究者は、このキャンペーンは追加の数十名の被害者に影響を与えた可能性があると考えていますが、その場所や部門は特定されていません。
ESETによれば、ハッカーは自らの活動を隠蔽するために正規のオンラインサービスに大きく依存し、Discord、Slack、Microsoft 365 Outlookを使用して侵害されたマシンと通信し、コマンドアンドコントロールインフラを管理していました。
このグループは、主にGo言語で記述されたカスタム構築ツールの範囲を展開しており、ターゲットシステムへのアクセスを維持するために設計されたローダー、インジェクター、バックドアが含まれています。
特定されたツールには、RatGopher、BoxOfFriends、インジェクターのJabGopher、ローダーのFriendDelivery、SSLORDoorとして知られるバックドアが含まれていると研究者は述べています。
侵害されたネットワークから盗まれた情報を削除するために、攻撃者はCompactGopherと呼ばれる専用のデータ流出ツールを使用し、ファイルを圧縮してファイル共有サービスFile.ioにアップロードしました。
ESETは、この作戦はサイバー諜報活動と一貫しているように見えると述べましたが、このキャンペーンを特定の組織に帰属させませんでした。
翻訳元: https://therecord.media/china-linked-hackers-target-mongolian-gov-slack-discord
