Chinese Hackers Targeting European Entities with New MQsTTang Backdoor
2023/03/03 TheHackerNews — 中国に拠点を置く Mustang Panda が、2023年1月に開始したソーシャルエンジニアリング・キャンペーンの一環として、MQsTTang と呼ばれる新たなカスタム・バックドアを使用していることが確認された。ESET の研究者である Alexandre Côté Cyr は、新しいレポートの中で「MQsTTang は、このグループにおける大半のマルウェアとは異なり、既存のファミリーや一般に公開されているプロジェクトをベースにしていないようだ」と述べている。
このグループにより組織された攻撃チェーンは、昨年のロシアのウクライナへの本格的な侵攻をきっかけに、ヨーロッパの事業体を標的とした攻撃を強化している。現時点において被害者は不明だが、おとりとして使われているファイル名は、同グループが過去において標的としていた、ヨーロッパの政治組織にを標的としたときのキャンペーンと一致すると、ESET は述べている。
ただし、ESET はブルガリアとオーストラリアの未知の団体に加えて、台湾の政府機関に対する攻撃も観測しており、ヨーロッパとアジアに焦点が当てられていると推測される。
Mustang Panda は、PlugX という名の RAT を使用してきた経緯があるが、TONEINS/TONESHELL/PUBLOAD などのカスタム・ツールで構成される、マルウェア兵器群を拡大していることが、最近の侵入で確認されている。
2022年12月に Avast は、ミャンマーの政府機関や政治 NGO を狙う一連の攻撃を公開した。そのときには、Hodur という PlugX の亜種と、Google Driveのアップローダーユーティリティが使用され、メールダンプ/ファイル/裁判記録/尋問報告/会議記録などの機密データが流出した。
さらに、この脅威アクターが管理していた FTP サーバでは、JSX と呼ばれる Golang トロイの木馬や、HT3 と呼ばれる高度なバックドアなどの存在が確認された。つまり、感染させたデバイスにマルウェアを配布するための、これまで文書化されていないツールがホストされていたことが判明した。
MQsTTang は、リモート・サーバーから受信した任意のコマンドを実行する、難読化技術が含まれない「素」のシングル・ステージのバックドアだが、進化が続いていることが示唆しされる。
しかし、このインプラントの珍しい点は、Command and Control (C2) 通信に MQTTという IoT メッセージング・プロトコルを使用している点にある。それは、Qt クロスプラットフォーム・アプリケーション・フレームワーク用の MQTT クライアントである、QMQTT というオープンソース・ライブラリを用いて実現されている。
この攻撃における最初の侵入ベクターはスピアフィッシングであり、外交をテーマにしたファイル名 (例:PDF_Passport and CVs of diplomatic members from Tokyo of JAPAN.eXE) などを特徴とする、単一の実行ファイルを含む RAR アーカイブを介して MQTT を配布している。
Côté Cyr は、「この新しい MQsTTang バックドアは、このグループにおける従来からのマルウェア・ファミリーとは関連しない、一種のリモート・シェルを提供している。つまり、Mustang Panda は、それらのツールのための、新しい技術スタックを探求していると示唆される」と述べている。
本文を読む限り、この MQsTTang バックドアは、まったくの新種のようです。また、参照元である ESET のレポートを見ると、オーストラリア/ブルガリア/台湾への攻撃が際立っていますが、日本も標的となっていることが分かります。この種の記事を検索してみたら、以下のものが見つかりました。よろしければ、ご参照ください。
2023/02/28:CISA KEV:ZK Java Web Framework
2023/02/22:R1Soft Server Backup にバックドア
2023/02/18:WhiskerSpy という北朝鮮のマルウェア
2023/02/17:GoDaddy でデータ侵害が発生
IoT OT Security News 
You must be logged in to post a comment.