SMS Bomber + Nimbda Backdoor:中国発のグレーウェアを悪用する意図はどこに?

Chinese Hackers Distributing SMS Bomber Tool with Malware Hidden Inside

2022/06/23 TheHackerNews — ハッカー集団 Tropic Trooper と関係のある脅威クラスタが、新たなキャンペーンの一環として、Nim 言語でコーディングされた、未知のマルウェアを使用していることが確認された。Nimbda と命名されたこの新しいローダーは、中国語のグレーウェア SMS Bomber ツールにバンドルされており、中国語圏で違法に配布されている可能性が高いと、イスラエルのサイバー・セキュリティ企業である Check Point は報告書で述べている

研究者たちは、「Nimbda Loader を作成した人物は、SMS Bomber と同じアイコンを用いて、それをドロップさせ実行させる。したがって、この組み合わせは、トロイの木馬バイナリとして動作する」と述べている。

SMS Bomber は、その名前が示すように、他者の電話番号を用いて、被害者のデバイスをメッセージで溢れさせ、使用不能な状況へと陥れる、サービス妨害 (DoS) 攻撃を行うためのツールである。

このバイナリが、SMS Bomber とバックドアを兼ねているということは、それによる攻撃が、単に SMS Bomber ユーザーのみを狙ったものではなく、高度な標的型攻撃であることを示唆している。

また、Tropic Trooper は、Earth Centaur/KeyBoy/Pirate Panda の名でも知られ、台湾/香港/フィリピンの、政府/医療/輸送/ハイテク産業などに攻撃を仕掛けてきた実績がある。

昨年に Trend Micro は、この中国語を話す集団について、「著しく洗練されており、設備も充実している」とし、この集団がレーダーをかいくぐるように TTP を進化させ、幅広いカスタム・ツールを悪用し、標的を攻撃する能力を有すると指摘している。

Check Point が記録した最新の攻撃チェーンは、改ざんされた SMS Bomber である Nimbda ローダーから始まり、組み込み実行ファイル (この場合は正規の SMS Bomber ペイロード) を起動すると同時に、notepad.exe プロセスに、別のシェルコードも注入するというものだった。

つまり、攻撃者が管理する GitHub/Gitee リポジトリでホストされている、マークダウン・ファイル EULA.md で指定される難読化された IP アドレスから、次の段階のバイナリをダウンロードするという、3層の感染プロセスがキックオフされる。

このバイナリは、Yahoyah というトロイの木馬のアップグレード版であり、被害者のマシンの周辺にある、ローカル WiFi ネットワーク情報などのシステム・メタデータを収集し、その詳細を Command and Control (C2) サーバに流出させるよう設計されている。

Yahoyah は、C2 サーバからダウンロードされる、最終段階のマルウェアを取得するためのパイプ役としても機能する。ステガノグラフィ・エンコード (steganographically-encoded) されたペイロードは、TClient として知られるバックドアであり、過去のキャンペーンで同グループが展開したものである。

研究者たちは、「観察された複数のアクティビティを見ると、明確な目標を持った行為者の姿が浮かび上がってくる。通常、サードパーティ製の良性 (または良性に見える) ツールを感染チェーンに挿入する場合、それらは可能な限り目立たないように選択される。挿入するツールに SMS Bomber が選択されているのは、不穏であり、攻撃の動機と被害者を推定すると全容が見えてくる」と述べている。

ちょっと謎の部分が多い記事であり、訳に自信のない部分もあります。まず、中国語のグレーウェア SMS Bomber ですが、Google で検索すると「感謝の SMS BOMB に数回、同じ SMS を送信!!! 」と書いてある、怪しいサイトが見つかりました。もちろん、触らずに検索結果を閉じましたが、良性のツールではないことは明らかです。そして、この SMS Bomber に宿るという Nimbda Loader は、さらにタチが悪そうです。ひょっとすると、何らかのテストが SMS Bomber を使って行われているのかもしれませんね。よろしければ、中国+APT で検索も、ご利用ください。あまりの多さに、驚かれるはずです。

%d bloggers like this: