China’s Nuclear Energy Sector Targeted in Cyberespionage Campaign
2023/03/28 SecurityWeek — サイバースパイ・キャンペーンを展開する南アジアの APT アクターが、中国の原子力エネルギー部門を標的にしていると、Intezer が最新情報として報告している。2021年ころから活動している Bitter という名のグループは、中国/バングラデシュ/パキスタン/サウジアラビアのエネルギーおよび政府組織を標的とすることで知られており、その戦術として、Excel/Microsoft Compiled HTML Help (CHM)/Windows Installer (MSI) ファイルの悪用を特徴としている。
この、中国などの組織をターゲットにするグループは、最近観測されたスパイ活動において、ファースト・ステージのペイロードを刷新し、難読化のレイヤーを追加し、ソーシャル・エンジニアリング用のデコイを追加している。
Bitter APT は、在中国キルギス大使館を装う7通のフィッシング・メールで、中国の原子力産業の関係者を対象にして、原子力をテーマとするカンファレンスへの参加を呼びかけていた。
一連のメールを受信した人々は、CHM/Excel ペイロードを取り込んだ、添付 RAR アーカイブをダウンロードして開くように促されるが、それにより、永続性を確保したマルウェアが展開され、C2 サーバ からの追加マルウェアの取得が行われるという。
観測された Excel ペイロードには、次の段階の EXE ファイルをダウンロードするためのスケジュール・タスクと、ペイロードを実行するタスクを設定するように設計された、Equation Editor エクスプロイトが含まれている。
その一方で CHM ファイルは、Microsoft Office の脆弱なバージョンがインストールされていない場合でも、ユーザーの操作を必要とせずに、任意のコード実行のために使用できるものだ。今回のキャンペーンにおいて Bitter APT は、この種の複数のファイルを使用していた。
調査/分析により特定された亜種の1つは、msiexec によりリモートの MSI ペイロードを実行するために、スケジュール・タスクを作成する。この攻撃チェーンを調査している間において、Intezer は空の MSI ファイルしか収集できなかった。つまり、攻撃者は偵察を行っており、ターゲットが有望だと判断したら、実際のペイロードと交換する作戦だと推測できる。
CHM ファイルの2つ目のバージョンは、暗号化された PowerShell コマンド・ステージを用いて、同様のアクティビティを実行することが確認されている。
Intezer は、「Bitter APT は、多少は戦術を変更しているが、ペイロードは 2021年に観測されたものと同様であり、キーロガー/リモートアクセス・ツール/ファイル・ステーラーなどに加えて、ブラウザに対するクレデンシャル・ステーラーなどのプラグインの形で提供できる、ダウンローダー・モジュールなどを実行すると想定される」と指摘している。
この種のインフラを標的にする Bitter は、国家に支援された APT のようです。最近のアジアのインフラに関連するトピックとしては、2023/02/21 の「APAC のデータセンターが標的:新たなサイバー攻撃の証拠が発見された」が印象に残っています。その他の地域では、以下のようなインフラ攻撃が発生しています。よろしければ、カテゴリ Infrastructure も、ご利用ください。
2023/01/13:英 Royal Mail の国際郵便が止まった
2022/10/10:KillNet:米国の主要空港 Web サイトがダウン
2022/08/16:Clop ランサムウェアが英国の水道施設を攻撃
2022/08/01:BlackCat天然ガスパイプライン Creos を攻撃
IoT OT Security News 
You must be logged in to post a comment.