ロシアの侵略:ウクライナを標的にする中国のハッキング・グループ Scarab

Another Chinese Hacking Group Spotted Targeting Ukraine Amid Russia Invasion

2022/03/26 TheHackerNews — 先月のロシアによるウクライナ侵攻が始まってから、ウクライナを標的とする、複数のキャンペーンが立ち上がっている。その一環として、中国語を話す Scarabという脅威アクターが、HeaderTip と呼ばれるカスタム・バックドアを仕掛けているが、この紛争に関連する中国ベースのハッキング・グループとしては、Mustang Panda に続いて2つ目となる。SentinelOne の研究者である Tom Hegel は、今週に発表されたレポートの中で、「この悪質な活動は、侵攻が始まって以来、中国の脅威者がウクライナを標的とした最初の公的事例の 1 つとなるものだ」と述べている。


SentinelOne の分析は、今週の初めにウクライナの CERT-UA が発表したアドバイザリを受けたものであり、RAR アーカイブ・ファイルの配信につながる、スピアフィッシング・キャンペーンの概要が説明されている。

Broadcom Software 傘下の Symantec Threat Hunter Team により、2015年1月に Scarab は初めて文書化された。また、2012年1月ころから、ロシア語を話す個人に対して、Scieron というバックドアを展開する、高度な標的型攻撃が詳細に報告されていた。

その当時に、Symantec の研究者たちは、「被害者のコンピュータの侵害に成功した攻撃者は、Trojan.Scieron という基本的なバックドアを使用して、コンピュータにTrojan.Scieron.B をドロップする。この Trojan.Scieron.B は、ネットワーク活動の一部を隠す rootkit 的なコンポーネントを持っており、より強化されたバックドア機能を備えている」と指摘していた。

HeaderTip と Scarab の関係は、Scieron のマルウェアとインフラの重複に起因しており、SentinelOne は後者について、新たに発見されたバックドアの前身だと述べている。32 Bit DLL ファイルとして設計され、C++ で書かれた HeaderTip は、サイズが 9.7KB であり、次の段階のモジュールをリモートサーバーから取得するための、第一段階のパッケージとしての機能を持つ。

Hegel は、「2020年以降の既知のターゲットには、2022年3月のウクライナ侵攻に関連するものも含まれる。Scarab は中国語を話す脅威アクターであり、地政学的な情報収集の目的を持って活動していると、中程度の確信で評価している」と述べている。

ロシアのウクライナ侵攻をめぐる中国の関与については、3月18日の「Google 警告:中国の国家支援ハッカーたちがウクライナ政府を狙っている」という記事があります。その一方で、同じ3月11日に「中国政府の見解:西側からの不正アクセスにより中国内からロシアが攻撃されている」があり、ここでも情報戦となっています。また、3月15日には「ロシアのストレージが2ヶ月後には枯渇する:欧米が去り中国と手を組む状況に?」という記事もあり、ロシアと中国の接近が予測されています。 → Ukraine まとめページ

%d bloggers like this: