ジャイアントパンダ
ここ数ヶ月、サイバー犯罪者がコロナウイルスの非常に現実的な脅威を利用してマルウェアやランサムウェアを拡散させたという話がいくつかあります。これらの脅威は世界中に広まっていますが、特に中国からは多くの脅威が出ています。国家が後援する中国のハッキンググループであるViciousPandaが、コロナウイルスを介して独自のマルウェアを拡散し始めたところまで。
攻撃に関する情報は、中国のAPTがコロナウイルスに関する正当な情報を「武器化」して悪意のあるマルウェアを大衆に広めたことを示す調査を公開したCheckPointからのものです。
目次
2回目の攻撃
悪質なパンダ攻撃は、実際には、過去数週間で中国から発生した2番目の主要なコロナウイルス(COVID-19)関連のマルウェアキャンペーンです。最初の出来事は、ベトナムのサイバーセキュリティグループVinCSSがムスタングパンダによる攻撃に気づいた3月の初めに起こりました。 Mustang Pandaは、中国の国家が後援するもう1つのハッキンググループです。
彼らの攻撃は、コロナウイルスに関するベトナム首相からのメッセージが含まれていると主張するRARファイルが添付された電子メールを配布することで知られていました。 RARファイルには、重要なメッセージを含めるのではなく、被害者のコンピューターにインストールしてハッキンググループに公開するバックドア型トロイの木馬が含まれていました。
悪質なパンダがモンゴル政府を攻撃
悪質なパンダの攻撃は、モンゴルの政府機関を標的にしたため、グループを監視していると述べたチェックポイントによって発見されました。最初の攻撃と同様に、このグループは、ユーザーがアクセスするためにダウンロードする必要のあるコロナウイルスに関する重要な情報を持っていると主張しました。
チェック・ポイントは、「モンゴルの公共部門エンティティに対する中国のAPTグループ」からのサイバー攻撃を阻止することができました。この攻撃は、ソーシャルエンジニアリングの段階でコロナウイルスの恐れを利用しました。 2つのドキュメントが含まれていました。文書の1つはCOVID-19に関連しており、どちらもモンゴル外務省からのものであると主張していました。ドキュメントには、被害者のコンピューターへのリモートアクセスを可能にする独自のマルウェア脅威がパッケージ化されていました。
メールの添付ファイル-出典:research.checkpoint.com
氷山の一角
残念ながら、この最新の攻撃は目新しいものではなく、ことわざの氷山の一角にすぎません。ハッカーは常にこの種の危機を有利に利用してきたため、COVID-19の利用に抵抗することはできませんでした。
チェックポイントによると、最新の中国のAPT文書は、「新しいコロナウイルス感染の蔓延について」と題されていました。それは、より本物でより効果的に見えるために、中国の国民健康委員会を引用しています。 COVID-19に関連するサイバー脅威は数多くありますが、これは、国が後援するハッキンググループが外国政府に対して行った最初の脅威のようです。
チェック・ポイントは、一連のコロナウイルス関連のハッキング攻撃の最新であるだけでなく、他の政府や組織に対する中国のハッカーによる進行中のキャンペーンの最新のものであると述べています。違いは、これは展開方法の一部としてコロナウイルスを利用したことです。
この攻撃は、「新しいサイバー感染チェーンを通じて、[中国]自身のアジェンダのためにコロナウイルスに対する公益を悪用する」と説明されました。彼らは、ヴィシャスパンダがモンゴルだけでなく世界中の国々をターゲットにしていると言います。彼らは、すべての公共部門のエンティティと電話会社に、潜在的なサイバー脅威、特にコロナウイルスに関するものであると主張するものすべてに警戒するように促します。
電子メールと文書は、モンゴル政府内からのものであると主張しています。そのうちの少なくとも1人は外務大臣から来たと主張した。キャンペーンは、モンゴルの公共部門の他の部分を対象としました。キャンペーンの目的は、政府のコンピューターから情報とスクリーンショットを取得し、ファイルを編集および削除し、それらのコンピューターをリモート制御することであるように見えました。
悪質なパンダランサムウェアはどのように機能しますか?
悪意のある添付ファイルには、コンピューターを制御できるリモートアクセストロイの木馬(RAT)が含まれています。トロイの木馬は、コマンドおよび制御サーバーへの接続が制限されるようにプログラムされているため、検出がより困難になる可能性があります。ペイロードの構造は、より大きなキャンペーンの一部として後でインストールするようにスケジュールされている他のモジュールを含めることができることを示唆しています。チェック・ポイントが知る限り、攻撃で使用されるマルウェアは完全に独自のカスタム設計された株ですが、正確にどのように機能するか、そして何をするかはかなり一般的です。
悪質なパンダ感染チェーン-出典:research.checkpoint.com
チェック・ポイントは、指揮統制センターがホストされていた場所など、キャンペーンの他の部分を分析しました。しかし、結局のところ、このマルウェアは国が後援するキャンペーンにほかなりません。ソーシャルエンジニアリングを使用して、ユーザーに添付ファイルをダウンロードして開くように促します。添付ファイルは別のファイルをロードし、コンピュータにバックドアをインストールします。その後、中国はそのバックドアを悪用して政府の標的をスパイすることができます。
Cybercrooksは引き続き中国とコロナウイルスを活用します
トップレベルの標識は、攻撃の背後にいる人物を正確に特定するのに十分な情報を提供していませんが、Check Pointはマルウェアのコードを掘り下げ、中国に関連する他のマルウェアで使用されているコードと類似していることを発見しました。これらのキャンペーンは、中国の敵にも向けられていました。
コロナウイルスの震源地である中国は、多くの欺瞞的な方法で独自の利点を生かしてウイルスを使用しています。ただし、コロナウイルスは現在、脅威の攻撃者が利用できる最高のソーシャルエンジニアリングツールであるため、コロナウイルスを使用するのは当然です。通常のサイバー犯罪者でさえ、彼ら自身のキャンペーンでそれを活用しています。
