Tencent QQ ユーザーをハッキング:中国 APT の Evasive Panda が関与 – ESET

Tencent QQ users hacked in mysterious malware attack, says ESET

2023/04/26 BleepingComputer — Tencent QQ メッセージング・アプリの自動アップデートの一部として、マルウェア MsgBot を配布するという謎の攻撃に、Evasive Panda と呼ばれる中国の APT ハッキング・グループが関与していることが判明した。Evasive Panda とは、2012年頃から活動しているサイバースパイ・グループであり、これまでに中国本土/香港/マカオ/ナイジェリア/東南アジア/東アジアなどの国々で、さまざまな組織や個人を標的としてきた。

この最新のキャンペーンは、2022年1月に ESET のセキュリティ研究者により発見され、この活動が 2020年に始まったことを示す兆候が報告されている。また、被害者の大半は、甘粛省/広東省/江蘇省に位置する国際 NGO (非政府組織) のメンバーであり、かなり特殊で集中的なターゲットであることが分かる。

Victim map (ESET)
サプライチェーンか AiTM か?

ESET の報告によると、MsgBot マルウェアのペイロードは、ソフトウェア開発者に属する正規の URL と IP アドレスから。Tencent QQ ソフトウェアのアップデートとして被害者に配信されたとのことだ。

つまり、この攻撃に関しては、サプライチェーン攻撃と中間者攻撃 (AiTM) の、2つのシナリオが考えられる。

1つ目のシナリオでは、Evasive PandaはTencent QQのアップデート配信サーバに侵入した攻撃者が、正規のソフトウェア・アップデートを装い被害者に配信される QQUrlMgr.exe ファイルをトロイの木馬化する必要がある。

Observed malicious URLs
Observed malicious URLs, IPs, and files (ESET)

ESET は、トロイの木馬化されたバージョンのアップデータ・ファイルが、ハードコードされた URL “update.browser.qq[.]com” からマルウェアを取得し、サーバから提供された正しい MD5 ハッシュと一致する、ハードコードされた復号鍵を使用することに気づいた。しかし、この URL の正当性は、現状では検証されておらず、また、Tencent は ESET の質問に対して回答していない。

さらに、マルウェアの配信メカニズムを明らかにする、XML アップデートデータのサンプルをサーバから取得することはできなかった。

Hypothesized supply chain attack diagram
Hypothesized supply chain attack diagram (ESET)

2つ目の AiTM シナリオにおいて、2022年のレポートで Kaspersky が取り上げた LuoYu APT を含む、この戦術を採用しいてきた過去のキャンペーンとの著しい類似性に、ESET は気づいた。

この古いキャンペーンでは、China Telecom からランダムな IP アドレスを生成する WinDealer マルウェアを用いて、AITM または攻撃者側での傍受を実行していた。これらの IP は、Evasive Panda のキャンペーンで MgBot マルウェアを配信した IP と、同じ範囲にあるようだ。

観察されたものは偶然の一致とも考えられ、また、どちらのシナリオも起こり得るが、ESET は明確な方向性を示す証拠を見つけられず、多くの疑問が残ったままである。

BleepingComputer は、この攻撃に関するさらなる質問について、ESET と Tencent の両社に問い合わせた。

マルウェア MgBot

このキャンペーンで配信された MgBot ペイロードは、Evasive Panda が 2012年の活動を開始してから用いている C++ Windows バックドアである。

ESET の報告によると、このマルウェアのインストーラ/バックドア/機能/実行チェーンは、2020年に Malwarebytes が分析して以来、ほとんど変化していないとのことだ。

MgBot は、モジュラー・アーキテクチャを用いて機能を拡張し、以下のような特殊な機能を実行する DLL プラグインを。C2から受け取る:

  • 特定の Tencent アプリでのキーロギング
  • ハードディスクや USB メモリからのファイルの窃取
  • クリップボードにコピーされたテキストのキャプチャ
  • 入出力オーディオ・ストリームのキャプチャ
  • Outlook/Foxmail のメール・クライアントからの認証情報の窃取
  • ユーザー・メッセージ履歴を保存する Tencent QQ データベースの窃取
  • Tencent WeChat からの情報の窃取
  • Firefox/Chrome/Edge からの Cookie の窃取
  • Chrome/Opera/Firefox/Foxmail/QQBrowser/FileZilla/WinSCP などからの認証情報の窃取

結論として、Evasive Panda APT は、中国のユーザーを標的とし、主に中国のアプリからデータを盗むことを目的とし、不明確な方法を活用して Tencent QQ ソフトウェアにサプライチェーン攻撃を行っていることが判明した。

それは、ソーシャルエンジニアリング/フィッシング/SEO ポイズニングなどの標準的な感染手法を超えた、同グループの高度な能力を示す特徴的な例であり、潜在的なターゲットは警戒が必要である。

最近の報道を見ていると、中国で諜報活動を行ったと疑われ、とんでもない目に遭わされたという人々が、かなりの数に及んでいることが分かります。この Tencent QQ を侵害する Evasive Panda APT も、そのような政治の動きと連動しているのかもしれません。よろしければ、以下の関連記事も、ご参照ください。

2023/03/13:Dark Pink:ASEAN の政府機関にボットを配布
2023/03/01:Iron Tiger は中国由来の APT27:Linux にマルウェア
2023/02/24:News Corp への不正侵入:中国由来の APT が潜入
2023/01/24:DragonSpark という中国の APT:Golang で検出回避
2023/01/11:Dark Pink という APT グループ:APAC の政府/軍事

%d bloggers like this: