中国ハッカーがマルウェアMgBotを用いて中国本土内の国際NGO団体を狙う

Yoshida

2023.04.27

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年4月27日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

中国ハッカーがマルウェアMgBotを用いて中国本土内の国際NGO団体を狙う

The Hacker News – Apr 26 2023 12:33

中国語話者APTグループ「Evasive Panda」（別名Bronze Highland、Daggerfly）が、マルウェア「MgBot」を使って中国本土に位置する国際NGO団体を狙っているのが観測されている。なお団体名は明かされていない。

Evasive Pandaは、遅くとも2012年後半から中国や香港、および東・南アジアのさまざまな組織を狙ってサイバースパイ攻撃を行ってきたとされるグループ。このグループの特徴はカスタムのモジュラーマルウェアフレームワークであるMgBotを使用する点で、MgBotは、インテリジェンス収集能力を向上させるための追加のコンポーネントを受け入れる性能を有する。

ESETが2022年1月に発見した、中国国内に拠点を置く国際NGO団体員を標的とするEvasive Pandaのキャンペーンでは、MgBotのインストーラーを展開するために実在する中国のアプリ「テンセントQQ」のトロイの木馬化したバージョンが使用されていたという。

この攻撃のシナリオは、テンセントQのアップデートサーバーのサプライチェーン侵害か、またはAdversary in the middle（AiTM攻撃）によるもののいずれかであると考えられるとのこと。

FIN7のハッカーら、最近のVeeamにおける脆弱性を悪用しているのを発見される（CVE-2023-27532）

SecurityWeek – Apr 26 2023 13:35

ロシアのサイバー犯罪グループFIN7が、2023年3月に修正されたばかりのVeeam Backup & Replicationにおける脆弱性CVE-2023-27532を悪用しているのが観測されている。

FIN7は遅くとも2015年から活動を開始した金銭的動機を持つグループで、主にクレジットカード情報の窃取を行ってきた。なおFIN7の傘下には、多数のサブグループが存在すると考えられている。

2023年3月末、WithSecure社は同グループがVeeam Backup & Replicationを使用しているインターネットに接続されたサーバーを悪用し、侵害された環境内でペイロードを実行しているのを発見した。この際に利用されたCVE-2023-27532（CVSSスコアは7.5）は3月初めに開示・修正された脆弱性で、修正から2週間後にはPoCエクスプロイトコードが公開されていた。

WithSecureが発見した攻撃においてFIN7は、ネットワークの偵察、Veeamバックアップデータベースからの情報窃取、保存された認証情報の抜き取り、バックドアDiceloaderのための持続性の確保、および盗んだ認証情報によるラテラルムーブメントを行っていたのが観測されていたとのこと。

Charming Kittenの新たなマルウェア「BellaCiao」が複数国への攻撃で発見される

The Hacker News – Apr 26 2023 13:16

Bitdefender Labsによると、イランの国家支援型ハッカーグループ「Charming Kitten」は最近、米国、ヨーロッパ、中東およびインドの複数の標的を盛んに狙い、新たなマルウェア「BellaCiao」を配布しているという。

Charming Kittenは、APT35、Cobalt Illusion、Educated Manticore、ITG18、Mint Sandstormといった名称でも知られるAPTグループで、イスラム革命防衛隊（IRGC）との関連が指摘されている。同グループは長年にわたってさまざまな手段を利用し、多様な業界の組織に属するシステムへバックドアを展開してきた。また最近では、2021年後半から2022年半ばにかけての米国の重要インフラ組織に対する報復攻撃はCharming Kittenによるものだったと、マイクロソフトが指摘していた。

そんな中で今回新たに発見されたBellaCiaoは「パーソナライズされたドロッパーであり、アクターが制御するサーバーから受信したコマンドに応じて、他のマルウェアペイロードを被害者マシン上へ配布する性能を持つという。

初期感染の正確な手口は断定されていないものの、侵入の過程でインターネットに接続されたアプリ（Microsoft Exchange ServerやZoho ManageEngineなど）における既知の脆弱性が悪用されているとの見方があるという。

侵害が成功すると、Charming KittenはPowerShellコマンドを使ってMicrosoft Defenderを無効化を試み、その後サービスインスタンス経由でホスト上での持続性を確立しようとする。また、受信されるインストラクションを処理したり認証情報を抽出したりする性能を持つIISモジュール2つがダウンロードされるのも観測されている。

2023年4月27日

ハイライト

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。