Symantecは7月23日(米国時間)、「Daggerfly: Espionage Group Makes Major Update to Toolset|Symantec Enterprise Blogs」において、中国の国家支援を受けているとみられる持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「Daggerfly(別名:Evasive Panda)」が攻撃ツールを更新したとして、注意を喚起した。新しい攻撃ツールは台湾の組織、中国に拠点を置く米国の非政府組織(NGO: Non-Governmental Organization)に対する攻撃に使用されたとみられている。

  • Daggerfly: Espionage Group Makes Major Update to Toolset|Symantec Enterprise Blogs

    Daggerfly: Espionage Group Makes Major Update to Toolset|Symantec Enterprise Blogs

新しい攻撃ツールの概要

Symantecが確認した新しい攻撃ツールは、macOSのバックドア「Macma」の亜種およびWindowsのバックドア「Nightdoor(別名:NetMM、Trojan.Suzafk)」の亜種とされる。いずれも同じ共有ライブラリを使用して開発されており、開発者の同一性を示している。

macOSのバックドア「Macma」は2021年にGoogleによって初めて文書化された。2019年から存在が確認されており、当初は水飲み場型攻撃に使用された。主な機能としては、以下が挙げられている。

  • デバイス識別子の窃取
  • コマンドの実行
  • 画面のキャプチャ
  • キーロガー
  • オーディオキャプチャ
  • ファイルのアップロードおよびダウンロード

Symantecによると、新たに発見されたMacmaには、上記に加え次の機能追加および機能改善が行われているという。

  • treeコマンドと同様の方式によるファイル一覧の窃取
  • オーディオキャプチャ機能の修正
  • 追加のパラメータ
  • 追加のデバッグログ
  • 画面キャプチャーのサイズおよびアスペクト比を調整する新しいファイルの追加

Windowsのバックドア「Nightdoor」は2024年3月にESETによって初めて文書化された。OneDriveをコマンド&コントロール(C2: Command and Control)サーバとして使用できる多段階のバックドアとされる。主な機能としては、cmd.exeシェルの作成、ipconfig、systeminfo、tasklist、netstatの実行機能があるとされる。

対策

Daggerflyは主要なオペレーティングシステムを標的にした攻撃ツールを開発する能力を持つとみられている。SymantecはmacOS、Windowsの他にもAndroid、Solarisを標的にしたマルウェアを確認したとしている。

Symantecは、調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。