Broadcomは9月13日(米国時間)、「New Wave of Espionage Activity Targets Asian Governments|Broadcom Software Blogs」において、アジアの政府および国有組織が、サイバースパイ活動の標的になっていると伝えた。この攻撃は、少なくとも2021年初頭から行われており、情報収集が主な目的とされている。

  • New Wave of Espionage Activity Targets Asian Governments|Broadcom Software Blogs

    New Wave of Espionage Activity Targets Asian Governments|Broadcom Software Blogs

以前に「ShadowPad」と呼ばれる遠隔操作ウイルス(RAT: Remote Administration Tool)を使ったキャンペーンを展開していた脅威グループが、新たなツールセットを採用し、アジアの多くの国々の政府や国有組織に対して継続的にキャンペーンを展開していることが明らかとなった。現在、政府首脳、首相官邸、金融に関連する政府機関、政府所有の航空宇宙・防衛関連企業、国営通信事業者、国営IT企業、国営メディア企業などが主な標的にされている。

発見されたサイバー攻撃ではマルウェアをロードするために、DLLサイドローディングと呼ばれる攻撃手法が使われている。DLLサイドローディングは、正規のDLLが存在すると予想されるディレクトリに悪意のあるDLLが配置され、正規のアプリケーションが実行された際に悪意のあるDLLがロードされてしまうというもの。侵害されたネットワークで資格情報の窃取や横方向の移動を容易にするツールを提供する手段にも使われている。

Broadcomは、この地域で活動するスパイ活動家の間でDLLサイドローディングを容易にするために正規のアプリケーションを悪用する傾向が強まっていると指摘。ネットワーク上で実行されているソフトウェアを徹底的に監査し、古くて時代遅れのソフトウェアや組織で公式に使われていないパッケージの存在を確認することなどが推奨されている。