中国関連APTグループPlushDaemon、韓国製VPNのサプライチェーンを侵害

中国関連APTグループPlushDaemon、韓国製VPNのサプライチェーンを侵害

Help Net Security – January 22, 2025

新たに特定された中国関連のAPTグループ「PlushDaemon」によって実行されたサプライチェーン攻撃について、ESETの研究者が報告。この攻撃では韓国のVPNプロバイダーIPanyのWebサイトで提供されていたNSISインストーラーに有害なコードが仕込まれ、同インストーラーをダウンロードすると正規ソフトと共にバックドア「SlowStepper」がデプロイされるようになっていたという。

PlushDaemonはこれまで知られていなかったグループだが、遅くとも2019年から中国、台湾、香港、韓国、米国、ニュージーランドの個人や組織に対してスパイ活動を行ってきたとされる。IPanyのインストーラーを悪用したサプライチェーン攻撃以外にも、中国産のアプリの正規アップデートをハイジャックしたり、Webサーバーの脆弱性を突いたりといった方法で初期アクセスを獲得することもあるという。

初期アクセス後に展開されるSlowStepperはPlushDaemonが独自に使用するカスタムバックドア。DNSを使った多段階のC2プロトコルや、スパイ性能を備えた数十ものPythonモジュールを追加でダウンロード・実行できる点が特徴だという。またWebブラウザからたようなデータを収集することが可能なほか、写真の撮影、ドキュメントのスキャン、WeChatやTelegramなどのチャットアプリを含むさまざまなアプリからの情報窃取、音声や動画を通じたスパイ行為の実施、パスワード認証情報の窃取といった機能も持ち合わせている。

ESETの研究者は、SlowStepperをはじめとするPlushDaemonのツールセットにおけるコンポーネントの豊富さやバージョン数の多さを踏まえ、同APTグループが「幅広いツール類の開発に熱心に取り組んできたことが示されている」と指摘。それ故に、警戒すべき重大な脅威になっていると述べた。

【無料配布中！】脅威アクターレポート

脅威アクターレポート：『Actor Profile : CyberVolk. group』

2024年9月〜10月にかけて日本の組織に対して真偽の疑わしいサイバー攻撃声明を繰り返した脅威アクター「CyberVolk. Group.」。弊社アナリストが同アクターによる過去の投稿データをもとにその目的、能力、動機、提携グループ、支援国を分析したレポート『Actor Profile : CyberVolk. group』を、以下のバナーより無料でダウンロードいただけます。

＜レポートの主なトピック＞

• 要点
• グループ概要
  ✔️攻撃声明
  ⚪︎DDoS攻撃声明
  ⚪︎サイバー恐喝
  ⚪︎その他日本の組織への攻撃声明
  ✔️他グループへの協力呼びかけ
  ⚪︎他の不法コミュニティでの悪評
  ✔️ランサムウェア等の宣伝
• 評価