Flying Dragon Eye:ウイグルに関連した脅威活動

curt

投稿者:Curt Wilson
投稿アーカイブ:APT攻撃(持続的標的型攻撃)、アナリシス、バックドア型プログラム、エクスプロイト・コード、マルウェア、フィッシング、ソーシャル・エンジニアリング、脅威分析、脅威ブリーフィング、トロイの木馬

レポート全文(英文)は、こちらからダウンロードできます。

侵入の痕跡(IOC)は、こちらからダウンロードできます。

本稿は、中国国外でウイグルに利害関係を持つ者を狙い、攻撃を試みた脅威について報告します。攻撃手法は、悪質なファイルが添付されたスピアフィッシングメールを送信するというお決まりの戦術です。マルウェアに感染させるために添付された攻撃コードは、古い脆弱性(CVE-2012-0158)を狙ったもので、こちら側からは、攻撃が成功したのか失敗したのかは確認できません。ただし、脅威アクターが使用したスピアフィッシングメールのメッセージから、標的とされた情報と戦術に関する洞察が得られます。攻撃が成功すると、通常は1つまたは複数のウイグル関連のドメイン名にマルウェアを誘導します。マルウェアのペイロードは、ウイグル関連のC2ドメインに関連しているとみられ、現在のところPlugX、Gh0st RAT、Saker/Xboxを使用していますが、未発見のツールがあるかもしれません。

CVE-2012-0158をはるかに上回る、さらなる脆弱性が標的とされている可能性はありますが、この場合は、脅威アクターはいまだに、長年にわたり数々のサイバースパイ活動に幅広く関連してきた4年前の脆弱性を利用して恩恵が受けられると考えているようです。これは、標的の防御の弱さと、標的に対してまだ十分有効と思われる不正コードで高い利益率を得ようとしていることを反映していると考えられます。脅威のインフラの中心は、同一の脅威アクターまたは関連している脅威アクターが、「Four Element Sword(4脆弱性ソード)」ビルダーなどの他の攻撃コードや、不正コードと一緒に送信される多様なタイプのマルウェア(PlugX、9002 RAT 3102の亜種、T9000、Grabber、Gh0st RAT LURK0の亜種など)に直接的または間接的にアクセスできることを示しています。これらのマルウェアは、ASERTの脅威インテリジェンス製品によってプロファイリングされています。