中国ハッカーEvasive Panda、ISP侵害しDNSポイズニングによりマルウェア拡散
(情報源:The Record、Volexity、BleepingComputer)
中国を拠点とするサイバースパイグループEvasive Pandaが2023年にあるインターネットサービスプロバイダー(ISP)を侵害し、DNSリクエストを汚染することによってマルウェアを拡散させていたことを、Volexityの研究者らが明らかに。これまで、このキャンペーンではテンセントQQのアップデートサーバーのサプライチェーン侵害か、またはAdversary in the middle(AiTM攻撃/中間者攻撃)のいずれかの手段が使われたと考えられていたが、今回のVolexityの報告により、DNSポイズニング攻撃(AiTM攻撃)が同グループの用いる感染ベクターだったことが明確になった。
Evasive Pandaとは
Evasive PandaはBronze Highland、Daggerfly、StormBamboo、StormCloudの呼称でも知られ、遅くとも2012年から活動しているグループ。これまでに、中国本土、香港、マカオ、ナイジェリアのほか、東南アジアや東アジアの国々における諸組織を標的にしてきた。
2023年4月には国際的NGOを狙った攻撃でメッセージングアプリ「テンセントQQ」の自動アップデートメカニズムを悪用し、Windows向けバックドア「Pocostick(MGBot)」を展開するのが観測されている。また今年7月には、macOS向けバックドア「Macma」などのマルウェアを使って在中アメリカ系NGOや台湾内の諸組織を攻撃しようとしていたことがわかっている。いずれのケースについてもサプライチェーン攻撃かAiTM攻撃の利用が疑われたものの、正確な攻撃手段はわかっていなかった。
DNSポイズニング攻撃(AiTM攻撃)の概要
そんな中、Volexityは新たに2023年の攻撃について報告。これによると、Evasive Pandaは標的のWindowsおよびmacOSデバイスへマルウェアペイロードを投下するための手段として、保護の不十分なHTTPソフトウェアアップデートメカニズムを悪用。これらのメカニズムではデジタル署名の検証が行われないことを利用し、デバイス上のアプリケーションがアップデートを呼び出す際、本来のアップデートの代わりにマルウェアをインストールさせていたという。これを実現するため、Evasive Pandaは標的マシンからのDNSリクエストを傍受し、有害インストーラーをホストする自身のC2サーバーへリダイレクトするよう改ざん。そうすることで、ユーザーに何の操作もさせることなくマルウェアを配布する仕組みを実現していた。
なお、Volexityは当該ISPへこの問題について伝え、協力のうえ調査を実施。ISPがネットワークにおけるいくつかのコンポーネントをリブートしてオフラインにしたところ、DNSポイズニングはすぐにストップしたとのこと。