Black Basta Deploys PlugX Malware in USB Devices With New Technique
2023/01/27 InfoSecurity — Black Basta ランサムウェア の侵害に関する調査により、接続されたリムーバブル USB メディアデバイスに自動的に感染する、新しい PlugX マルウェアの亜種が使用されていることが判明した。Palo Alto Networks の Unit 42 は、この調査結果を Infosecurity と共有し、新しい PlugX 亜種はワーム可能であり、Windows OS から自身を隠すように USB デバイスに感染すると付け加えている。
Unit 42 は新しい脅威に関するアドバイザリで、「このマルウェア PlugX は、斬新な手法で攻撃用のファイルを USB デバイスに隠蔽している。悪意のファイルは、*nix OS 上で参照するとき、あるいは、USB デバイスをフォレンジック・ツールにマウントするときだけ、閲覧可能になる。この検出回避の能力により、マルウェア PlugX は拡散し続け、あらゆるネットワークに飛び火する可能性がある」と述べている。
さらに Unit 42 は、USB デバイスに感染し、接続されたホストから、すべての Adobe PDF/Microsoft Word ファイルをコピーする、PlugX の別の亜種も発見したと付け加えている。その亜種は、コピーしたファイルを、USB デバイス上に自動的に作成される隠しフォルダに移動させるという。
技術的な観点から見ると、PlugX は第2段階のインプラントであり、セキュリティ研究者たちによると、複数のサイバー犯罪グループだけではなく、中国と関係のある複数のグループに使用されているとのことだ。
Unit 42 のアドバイザリには、「10年以上前から存在し、2015年の米国政府人事管理局 (OPM:Office of Personnel Management) 侵害を含む、いくつかの著名なサイバー攻撃で観測されている。PlugX はモジュール式のマルウェア・フレームワークであり、長年にわたって進化してきた一連の機能をサポートしている」と記されている。
これらの攻撃で Brute Ratel ポスト・エクスプロイト・ツールが使用されているが、以前に Trend Micro が報告しているように、このランサムウェア・グループと関連する厄介なペイロードと同じであることから、このマルウェア・ツールと Black Basta の関連性が導き出される。
Black Basta が頻繁に使用するもう1つのマルウェア・ツールは Qakbot であり、2022年に最初の侵入ポイントを作成した脅威アクターたちは、組織のネットワーク内で横方向に移動するために、これを使用したと報告されている。
いつの間にか、その名前を見かけるようになった PlugX ですが、このブログに初めて登場したのは、2021/10/01 の 「中国ハッキング・グループの Rootkit は Windows 10 をターゲットにスパイ活動を行う」という記事でした。ここでは、TAG-28というコードネームで呼ばれている中国系の脅威アクターの存在が示唆されていました。その後の、PlugX 関連の記事は、以下のとおりです。
2021/07/28:脆弱化した MS Exchange に PlugX マルウェア
2022/06/29:Exchange の ProxyLogon と中国支援の APT
2022/05/24:Trend Micro の DLL ハイジャック脆弱性が FIX
IoT OT Security News 
You must be logged in to post a comment.