Trend Microはこのほど、「Earth Preta Updated Stealthy Strategies」において、中国のサイバー攻撃グループによる最新のキャンペーンについて伝えた。「Earth Preta」(別名Mustang Panda)と呼ばれている持続的標的型攻撃(APT: Advanced Persistent Threat)グループが新たなキャンペーンを展開し、Google Driveのリンクを悪用してルアーアーカイブを配信していることがわかった。
-
Earth Preta Updated Stealthy Strategies
Earth Pretaは中国に拠点を置く持続的標的型攻撃グループ。この脅威グループが複数のマルウェアを使用し、データの流出を目的とした複数のツールを使って新たなキャンペーンを展開していることがわかった。セキュリティソリューションやメールスキャンサービスを回避するために、戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)を積極的に変更していることが確認されている。
-
The full infection chain
TONEINS、TONESHELL、PUBLOADといったマルウェアがこのキャンペーンで使われている。電子メールの本文に埋め込まれたGoogle Driveのリンクからダウンロードされる仕組みになっており、スキャンサービスやゲートウェイソリューションを回避するためにGoogle Driveのリンクとパスワードが埋め込まれたドキュメントがルアーとして使われている。
PUBLOADはデータを転送するために偽装されたHTTPヘッダを使用するマルウェアとして知られている。キャンペーンで使われたPUBLOADは亜種とみられており、正規のホスト名を持つHTTPヘッダをパケットの先頭に付加していることがわかった。この変更は、正常なトラフィックの中に悪意のあるデータを隠すために行われたものと考えられている。
-
Infection flow for the new arrival vector
その他にも、Windows 10のユーザーアカウント制御(UAC: User Account Control)を回避する目的でHackTool.Win 32.ABPASS、HackTool.Win 32.CCPASSといったツール、コマンドの実行やイベントログの消去が可能なバックドアであるCLEXEC、キーストロークの記録やファイル窃取を行うCOOLCLIENT、TROCLIENT、PlugXなどのユーティリティが導入されているという。
Earth Pretaのような持続的標的型攻撃グループから組織を保護するため、従業員やパートナーに対してフィッシングに関する意識向上トレーニングを徹底して実施することが求められている。特に見慣れない送信者からのメッセージや不明な題名のメッセージの電子メールを開く場合、細心の注意を払うことが望まれている。
