中国のハッカー Evasive Panda:水飲み場とサプライチェーンを組み合わせる戦術とは?

China-Linked Cyber Spies Blend Watering Hole, Supply Chain Attacks

2024/03/07 DarkReading — 中国の脅威グループによる標的型の水飲み場攻撃により、仏教フェスティバルの Web サイト訪問者とチベット語翻訳アプリのユーザーが、MgBot マルウェアなどに感染したことが判明した。ESET の新しい調査によると、ハッキング・チームである Evasive Panda のサイバー作戦キャンペーンが、2023年9月以前に開始されており、インド/台湾/オーストラリア/米国/香港などのシステムに影響を与えたという。


このキャンペーンにおいて、攻撃者は、インドを拠点とするチベット仏教を推進する組織/チベット語の翻訳を行う開発会社/ニュース・サイト Tibetpost の Web サイトなどを侵害し、悪意のプログラムを密かにホストしていた。そして、侵害済のサイトを訪れた特定地域のユーザーたちは、このグループの常套手段である MgBot や、最近の比バックドア・プログラム でNightdoor などの、ドロッパーやバックドアに感染した。

この攻撃を発見した ESET の研究者 Anh Ho は、「このグループは、キャンペーンにおいて、実に多様な攻撃ベクターを実行していた。彼らが用いた攻撃手法には、ソフトウェア・アップデートを介して開発サーバを悪用する中間者 (AiTM:Adversary-in-The-Middle) 攻撃/水飲み場攻撃/フィッシング・メールなどが含まれる」と述べている。

彼は、「同じキャンペーンの中で、サプライチェーン攻撃と水飲み場攻撃の両方を指揮したという事実は、彼らが十分なリソースを持っていることを示している。Nightdoor が非常に複雑である点は、技術的に意味深いことだ。しかし Evasive Panda の最も重要な特徴は、彼らが実施する攻撃バクターの多様性であるというのが、私の意見だ」と付け加えている。

Evasive Panda は比較的に小規模なチームであり、通常はアジアやアフリカの個人や組織を、重点的に監視している。このグループは、2023年の電気通信会社への攻撃に関与した際に、SentinelOne により “Operation Tainted Love” と名付けられている。
Microsoft によると、Granite Typhoon (旧 Gallium) に関連しているという。また、Symantec が Daggerfly と命名し、Google Mandiant が APT41 と呼んでいる、サイバー犯罪者/スパイ・グループと重複しているようだ。

水飲み場とサプライ・チェーンの侵害

Evasive Panda は、2012年から活動しており、サプライチェーン攻撃でよく知られている。2023年には、中国とアフリカのユーザーのシステムを感染させるために、盗み出したコード署名認証情報を用いる、アプリケーション・アップデートを装っていた。

ESET が公表した分析によると、この最新のキャンペーンでは、チベット仏教の Tibetan Buddhist Monlam festival の Web サイトを侵害し、バックドアやダウンローダー・ツールを仕掛け、侵害済のチベットのニュースサイトからペイロードをダウンロードさせたという。

さらに、このグループは、チベット語翻訳ソフトの開発者をトロイの木馬化したアプリで侵害し、彼の Windows/Mac OS システムに感染させることで、そのユーザーを狙っていた。

Ho は、「現時点においては、攻撃者が狙っている情報の種類を正確に特定できない。ただし、Nightdoor や MgBot などのバックドアが配備されると、被害者のマシンへの侵入が可能になる。それにより攻撃者は、好きな情報にアクセスできる」と説明している。

Evasive Panda は、中国本土/香港/マカオなどの居住者を含む、中国国内の個人を監視の標的にしており、中国/マカオ/東南アジア/東アジア諸国などの政府機関にも侵入している。

ESET の分析によると、最新の米国での攻撃では、その対象にジョージア工科大学も含まれていたという。

サイバー・スパイとの関係

Evasive Panda が開発したものには。独自のカスタム・マルウェア・フレームワーク MgBot がある。このツールは、モジュラー・アーキテクチャで実装されており、追加コンポーネントのダウンロード/コードの実行/データの窃取などの機能を搭載しているという。さらに MgBot モジュールは、侵害した被害者をスパイし、追加機能をダウンロードさせることも可能だ。

このグループは 2020年に、インドと香港のユーザーに対して、MgBot ダウンローダーを使用して、最終的なペイロードを配信していたという。Malwarebytes は、2014年と 2018年に発生した攻撃にも、同グループが関与していたと見ている。

その一方で、同グループが 2020年に導入したバックドア Nightdoor は、C2 サーバと通信して、コマンドの発行/データのアップロード/リバースシェルの作成を行う。

ESET の Ho は、Evasive Panda が独占的に使用する MgBot や Nightdoor などのツール群は、中国に関連するサイバースパイ・グループを示唆していると述べている。

彼は、「ESET は、一連のキャンペーンで使用されたマルウェアが MgBot とNightdoor であることから、このキャンペーンは Evasive Panda APT グループによるものだと分析している。我々は、過去2年間にわたって、台湾の宗教団体に対する無差別な攻撃で、両方のバックドアが同時に展開され、同じ C2 サーバが共有されていたことも観測している」と指摘している。

水飲み場も、サプライチェーンも、それなりの準備とコストを必要とする攻撃方法だと思います。水飲み場で標的を選別して、サプライチェーンで深く潜り込んでいくという、APT が好みそうな組み合わせ攻撃ですね。金銭を目的とするサーバー犯罪においては、ROI の観点から難しいとも思えますが、いつ、どこで、子もティティ化するのかも分かりません。頭の片隅に、記憶しておきたいインシデントです。よろしければ、カテゴリ APT も、ご利用ください。