The Hacker Newsは12月5日(現地時間)、「ANEL and NOOPDOOR Backdoors Weaponized in New MirrorFace Campaign Against Japan」において、中国の国家支援を受けているとみられる持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「APT10」に属する脅威グループ「MirrorFace(別名: Earth Kasha)」が、日本の個人および組織を標的にスピアフィッシング攻撃を行ったと報じた。
MirrorFaceは日本の組織を執拗に狙うことで知られ、今回は2024年6月ごろから政治組織、研究機関、シンクタンク、国際関係機関の個人に対するサイバー攻撃キャンペーンを実施したとみられる。
-
ANEL and NOOPDOOR Backdoors Weaponized in New MirrorFace Campaign Against Japan
攻撃手法の変更
MirrorFaceの新しいサイバー攻撃キャンペーンはTrend Microにより観測され、その詳細は「Guess Who’s Back - The Return of ANEL in the Recent Earth Kasha Spear-phishing Campaign in 2024 | Trend Micro (US)」にて報告されている。
報告によると、従来のMirrorFaceはエッジデバイスの脆弱性を悪用して侵入を試みていたが、今回はスピアフィッシング攻撃に手法を切り替えたとされる。これは、主な標的が組織から個人に切り替わったことが要因とみられている。
今回のサイバー攻撃キャンペーンでは、次の3種類の侵害経路が確認された。
- マクロを埋め込んだドキュメント:被害者がドキュメントを表示してマクロを有効化すると、DLLサイドローディングを使用してマルウェア「ANEL」が実行される
- ショートカットと自己解凍アーカイブ:ショートカットを開くとドキュメントファイルに偽装した自己解凍アーカイブ(SFX: Self-Extracting Archive)が実行される。自己解凍アーカイブは「無害なドキュメント」と「マクロを埋め込んだドキュメント」を展開して無害なドキュメントを表示する。無害なドキュメントはテンプレートとしてマクロを埋め込んだドキュメントを自動的に読み込み、上記と同じ処理を実行する
- ショートカットとCABファイル:ショートカットを開くとPowerShellコマンドが実行され、ショートカットに埋め込まれたCABファイルを保存、展開する。CABファイルには上記と同じ無害なドキュメントとマクロを埋め込んだドキュメントが含まれており、無害なドキュメントを表示する
-
ショートカットとCABファイルを使用した侵害経路 引用:Trend Micro
マルウェア「ANEL」の概要
最終的に実行されるマルウェア「ANEL」は32ビットHTTPベースのバックドアとされる。2017年ごろから2018年までAPT10により主要なバックドアとして使用された。それ以降は確認されていなかったが、今回6年ぶりに使用が観測された。
主な機能は次のとおり。
- ファイルのダウンロード、アップロード
- メモリー内PE(Portable Executable)の実行
- ダウンロードして実行
- スリープ
- スクリーンショットの窃取
- UACのバイパス
- コマンドの実行
今回のキャンペーンでは追加のマルウェア「NOOPDOOR」をインストールしたことが観測されている。NOOPDOORは高度なモジュール式バックドアとされ、MirrorFaceが特に興味を持った標的に対して展開したと推測されている。
回避策
MirrorFaceの戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)の進化、および標的が個人という特性から、Trend Microはこうしたサイバー攻撃を検出することは困難だとしている。そのため、回避策としては不審なメールに添付されたファイルを開かないなど、基本的なフィッシング対策の実施が推奨されている。
MirrorFaceによる攻撃は2024年10月以降も継続しているとみられ、日本国内の組織には同様の攻撃に引き続き警戒することが望まれている。また、Trend Microは本件調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)とYARAルールを公開しており、必要に応じて活用することが望まれている。
フリーWi-Fiがサイバー攻撃に悪用される、日本も危ない
