SentinelLabsが最近明らかにした脅威アクターAoqinDragon。その活動は少なくとも2013年までさかのぼり、東南アジアとオーストラリアの政府や教育機関、さらに電気通信に関連する組織をターゲットにサイバースパイ活動を行ってきたということです。SentinelLabsは、その攻撃手法の詳細を明らかにしています。
リムーバルデバイスのショートカット技術を悪用して拡散
SentinelLabsによると、AoqinDragonは少なくとも2013年以降には活動していたことが確認されており、初期の攻撃ではアジア太平洋地域の政治的なテーマを扱ったドキュメントやポルノに関するドキュメントをおとりコンテンツとして添付したフィッシングメールを標的に送りCVE-2012-0158やCVE-2010-3333の脆弱性を悪用して攻撃が行われていたということです。その後、Windowsやアンチウィルスベンダーのアイコンでマスクされたデスクトップアイコンを使って実行可能ファイルを作成し、この実行可能ファイルがドロッパーとして機能してバックドアをアクティブ化し、C2サーバーに接続する手法がとられるようになったということです。
これら攻撃では、関心をそそるメールコンテンツとキャッチ―なファイル名を組み合わせたソーシャルエンジニアリングで標的のマシンに感染させるにとどまらず、リムーバルデバイスを介したワーム感染も行われていたようですが、2018年以降はさらに攻撃手法が変化し、クリックするとDLLハイジャックが実行され、暗号化されたバックドアのペイロードが投下されるリムーバルディスクショートカットファイルが使用され、さらにローダーは正当なリムーバルデバイスにバックドアペイロードをコピーして感染を拡大させていたということです。
この攻撃では他にThemidaがパックされたファイル、侵害後の検出回避のためのDNSトンネリングが使われており、攻撃の主な目的はスパイ活動であり、オートラリア、カンボジア、香港、シンガポール、ベトナムで起きているサイバー攻撃の標的との関連も確認されているようです。SentinelLabsは、「ターゲット、攻撃インフラ、マルウェアの構造分析から攻撃者はUNC94と潜在的な関連をもつ中国語を話すチーム」だと分析しています。UNC94はMandiantが未分類(uncategorized)として分類している脅威グループの1つです。
台湾政府や比軍事組織を標的にした「Tropic Trooper攻撃」
CVE-2012-0158とCVE-2010-3333の脆弱性を悪用したアジア太平洋地域におけるサイバースパイ活動としては、トレンドマイクロが2015年に明らかにした「Tropic Trooper攻撃」があります。トレンドマイクロによると、この攻撃は2012年から活動が行われており、2015年3月から5月にかけて確認されました。2015年に確認された攻撃では、台湾の政府機関や省庁、重工業、フィリピンの軍事関連組織から機密情報を窃取するサイバースパイ活動の実態が明らかになりました。トレンドマイクロによると同様の不正プログラムは2013年にインドやベトナムのユーザーを狙った攻撃でも確認されているということです。
また、2014年3月にクアラルンプールから中国・北京に向かったマレーシア航空370便が消息を絶った後、アジア太平洋地域の各国政府やアメリカのシンクタンクに送られてきたスピアフィッシングメールによる攻撃でもCVE-2012-0158の脆弱性が悪用されていました。これらサイバースパイ活動は、それぞれ関連があるのかどうか不明ですが、太平洋地域を舞台に巧妙なサイバースパイ活動が繰り広げられていることを示しています。その背景には政治的な動機や国際情勢があると考えられ、SentinelLabsはAoqinDragonの活動について「中国政府の政治的利益と一致している」とも指摘しています。
■出典・参考
https://www.ipa.go.jp/security/ciadr/vul/20120411-Windows.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2010-3333