Language
アースプレタスピア

ブログ

ホームページホームページ / ブログ / アースプレタスピア
search

Jun 04, 2023

2024年トヨタ・タコマのインテリアと再設計で10の変更が確認

Aug 25, 2023

Nintendo Switch で絶対にやってはいけない 10 のこと

Jul 15, 2023

従業員の昇給要求を巧みに断る 10 の方法

Sep 27, 2023

ベスト USB 11

Jan 18, 2024

女性、足病医のためのベスト整形外科サンダル 12 選

お問い合わせを送信してください
送信

Oct 19, 2023

アースプレタスピア

APT e attacchi mirati Analizza lo spionaggio informatico avanzato.

APT と標的型攻撃

3 月に始まった大規模な攻撃展開で観察された、高度持続的脅威 (APT) グループ Earth Preta のサイバースパイ活動を分析します。 また、世界中の複数のセクターへの感染に使用されるマルウェア ファミリ (TONEINS、TONESHELL、PUBLOAD) の感染ルーチンも示します。

投稿者: Nick Dai、Vickie Su、Sunny Lu 2022 年 11 月 18 日 読了時間: ( 文字数)

フォリオに保存

私たちは、世界中の政府、学術、財団、研究部門を標的としたスピアフィッシング攻撃の波を監視してきました。 私たちが実際に観察したおとり文書に基づくと、これは 3 月頃から始まった大規模なサイバースパイ活動です。 数か月にわたる追跡調査の結果、標的型攻撃が広範囲に発生しているように見えますが、これにはミャンマー、オーストラリア、フィリピン、日本、台湾が含まれますが、これらに限定されません。 私たちはこのキャンペーンで使用されたマルウェア ファミリを分析し、この事件は Earth Preta (Mustang Panda および Bronze President としても知られる) と呼ばれる悪名高い高度持続的脅威 (APT) グループによるものであると考えました。

キャンペーンを観察したところ、Earth Preta は偽の Google アカウントを悪用してスピア フィッシング メール経由でマルウェアを配布し、最初はアーカイブ ファイル (rar/zip/jar など) に保存され、Google ドライブのリンクを通じて配布されたことがわかりました。 その後、ユーザーは、TONEINS、TONESHELL、PUBLOAD などのマルウェアをダウンロードして実行するように誘導されます。 PUBLOAD については以前に報告されていますが、このエントリでは、このグループがキャンペーンに使用する新たに発見されたマルウェア ファミリである TONEINS および TONESHELL に関連する新しい技術的洞察を追加します。

さらに、攻撃者は、コード難読化やカスタム例外ハンドラーなど、検出と分析を回避するためにさまざまな手法を利用します。 また、スピア フィッシング メールの送信者と Google ドライブのリンクの所有者が同一であることも判明しました。 被害者をおびき寄せるために使用されたサンプル文書に基づいて、以前に侵害されたアカウントの名前の略称に示されているように、攻撃者はターゲット組織に対して調査を行うことができ、潜在的には以前の侵害を行うことができ、その組織に精通していた可能性があると考えられます。 。

このブログ エントリでは、Earth Preta の新しいキャンペーンと、新しいインストーラーやバックドアを含むその戦術、技術、手順 (TTP) について説明します。 最後に、セキュリティ担当者が、私たちが特定したものと同様のマルウェアの脅威を追跡する方法を紹介します。

初期の妥協点とターゲット

この脅威の監視に基づいて、おとり文書はビルマ語で書かれており、その内容は「လျှို့ဝှက်ချက်」(「内部専用」)です。 文書内のトピックのほとんどは国家間で物議を醸す問題であり、「秘密」や「社外秘」などの単語が含まれています。 これらは、攻撃者が最初の侵入ポイントとしてミャンマー政府機関をターゲットにしていることを示している可能性があります。 これは、攻撃者が攻撃前にすでに特定の政治団体に侵入していることを意味する可能性もあり、Talos Intelligence も以前に指摘していました。

攻撃者は盗んだ文書をおとりとして使用し、ミャンマー政府機関と協力している標的組織をだまして悪意のあるファイルをダウンロードして実行させます。 被害者は世界中の幅広い組織や業種に及んでいますが、特にアジア太平洋地域に集中しています。 ミャンマーで共同作業を行っている政府機関とは別に、その後の被害者には教育産業や研究産業などが含まれていた。 攻撃者は、特定の組織に関する現在進行中の国際イベントをカバーするおとりのトピックに加えて、ポルノ関連の件名を使って個人を誘惑します。

ルーチンを分析する

Earth Preta は、侵入の最初のステップとしてスピア フィッシングメールを使用します。 前述したように、電子メールの件名や内容には、地政学的トピックについて議論しているものもありますが、センセーショナルな主題が含まれているものもあります。 私たちが分析したすべての電子メールには Google ドライブのリンクが埋め込まれていることがわかりました。これは、ユーザーがどのようにして悪意のあるアーカイブをダウンロードするようにだまされるかを示しています。 アーカイブのファイル タイプには、いくつか例を挙げると、.rar、.zip、.jar などの圧縮ファイルが含まれます。 リンクにアクセスすると、アーカイブにマルウェア TONEINS、TONESHELL、および PUBLOAD マルウェア ファミリが含まれていることがわかりました。

スピアフィッシングメール

私たちは電子メールの内容を分析したところ、Google ドライブのリンクが被害者へのおとりとして使用されていることがわかりました。 電子メールの件名が空であるか、悪意のあるアーカイブと同じ名前が付けられている可能性があります。 攻撃者は、被害者のアドレスを電子メールの「To」ヘッダーに追加するのではなく、偽の電子メールを使用しました。 一方、実際の被害者の住所は「CC」ヘッダーに書き込まれており、セキュリティ分析を回避して捜査を遅らせる可能性が高い。 オープンソース インテリジェンス (OSINT) ツール GHunt を使用して、「宛先」セクションにあるこれらの Gmail アドレスを調査すると、ほとんど情報が含まれていない偽アカウントが見つかりました。

さらに、送信者の一部が特定の組織からの電子メール アカウントを侵害されている可能性があることも確認されました。 被害者は、これらのメールが信頼できるパートナーから送信されたものであると思い込む可能性があり、受信者が悪意のあるリンクを選択する可能性が高くなります。

おとり文書

また、ミャンマー政府機関に関連する、またはミャンマー政府機関と協力している組織にリンクされたおとり文書もいくつか見つかりました。 最初のおとりのファイル名は Assistance and Recovery(china).exe ですが、別のおとりの .PDF 文書 (「ミャンマー共和国大使館.pdf」、つまり「ミャンマー共和国大使館」) は、Assistance という名前の圧縮ファイルで確認されました。 and Recovery(china) .rar. 伝えられるところによると、これはミャンマーと中国の大使館間の大まかな会議スケジュールにおける大使の報告が含まれた文書である。

もう 1 つの文書は、研究者に日本で研究交流を行う機会を提供する日本学術振興会 (JSPS) に関連したものです。 特に、圧縮ファイル添付ファイル(EN).rar 内のドキュメントはほとんどが画像ファイルです。 この中には、サイドローディングの次の層に使用される悪意のある DLL と実行可能ファイルも含まれています。

この他にも、地域情勢やポルノなど、さまざまなテーマの内容のおとり文書があります。 ただし、被害者がこのフォルダー内の偽の文書ファイルを開くと、対応するコンテンツは表示されません。

到着ベクトル

Google ドライブ リンク、Dropbox リンク、またはファイルをホストしている他の IP アドレスを介して配布された世界中の 30 以上のルアー アーカイブを含む、侵入のエントリ ポイントとして少なくとも 3 種類の到着ベクトルを観察しました。 私たちが収集したアーカイブのほとんどには、正規の実行可能ファイルとサイドロードされた DLL が含まれています。 アーカイブおよびおとり文書の名前はケースごとに異なります。 次のセクションでは、それらのいくつかを例として取り上げ、それぞれの TTP を共有します。

タイプ A: DLL サイドローディング

この場合、アーカイブには 3 つのファイルがあります:「~」、米国が中国を餌付けしているとますます確信している.exe、libcef.dll。 特に、次のセクションで詳しく説明するように、ルアー ドキュメントと実行可能ファイルの名前は異なる場合があります。

表 1. タイプ A のアーカイブ内のファイル

アーカイブ内の「~」ファイルはルアー ドキュメントです。 実行可能ファイル「米国が中国を餌にしているとますます自信を持って」 この実行可能ファイルは、悪意のある libcef.dll をサイドロードし、エクスポート関数 cef_api_hash をトリガーします。

初めて実行されるとき、実行可能ファイルは .exe ファイルをコピーし、libcef.dll (トレンドマイクロによって Trojan.Win32.PUBLOAD として検出される) を <%PUBLIC%> に移動することにより、マルウェアをインストールしようとします。.exe ファイルと .dll ファイルの両方それぞれ C:\Users\Public\Pictures\adobe_wf.exe と C:\Users\Public\Pictures\libcef.dll の名前が変更されます。 さらに、「~」の名前が 05-09-2022.docx に変更され、デスクトップにドロップされます。

タイプ B: ショートカット リンク

悪意のあるアーカイブには、New Word Document.lnk、putty.exe、CefBrowser.dll の 3 つのファイルが含まれています。 特に、DLL と実行可能ファイルは、「_」という名前のフォルダーの複数の階層に配置されます。

表 2. タイプ B のアーカイブ内のファイル

脅威アクターは、.lnk ファイルを利用して、WinRAR でアーカイブ ファイルを解凍し、悪意のあるファイルをインストールします。 完全なコマンドラインは次のとおりです。

%ComSpec% /c "_\_\_\_\_\_\putty.exe||(forfiles /P %APPDATA%\..\..\ /S /M Desktop.rar /C "cmd /c (c:\progra~1\winrar\winrar.exe x -inul -o+ @path||c:\progra~2\winrar\winrar.exe x -inul -o+ @path)&&_\_\_\_\ _\_\putty.exe")"

Putty.exe は通常の実行可能ファイルを装っています。 元のファイル名は AppXUpdate.exe です。 これが実行されると、CefBrowser.dll がサイドロードされ、エクスポート関数のメイン ルーチン CCefInterface::SubProcessMain が実行されます。 また、永続化のために schtask を悪用します。

タイプ C: 偽のファイル拡張子

この場合、China VS Taiwan.rar には次のような複数のファイルが含まれています。

表 3. タイプ C のアーカイブ内のファイル

libcef.dll (トレンドマイクロでは Trojan.Win32.TONEINS として検出) は、次の段階のマルウェアのインストーラーです。 「~」で始まる名前の 2 つのファイル (この場合は ~$20220817.docx と ~$20220617(1).docx) が <%USERPROFILE%\Pictures> にコピーされます。 どちらのファイルも偽のファイル拡張子を持ち、Microsoft Office ソフトウェアを開くときに生成される一時ファイルになりすましています。

マルウェア

このキャンペーンでは、PUBLOAD、TONEINS、TONESHELL というマルウェアが使用されていることが確認されました。

Trojan.Win32.PUBLOAD

PUBLOAD は、コマンド アンド コントロール (C&C) サーバーから次の段階のペイロードをダウンロードできるステージャーです。 このマルウェアは、2022 年 5 月に Cisco Talos によって初めて公開されました。

.dll が実行されると、まず OpenEventA を呼び出して、同じプロセスがすでに実行されているかどうかが確認されます。 Barberousse 氏が投稿したツイートによると、いくつかの注目すべきイベント名は、「moto_Sato」、「xaacrazyman_armyCIAx」、「JohnHammondTeam」など、Twitter 上の他のサイバーセキュリティ研究者のユーザー名として特定されています。 これらの研究者は PUBLOAD とは何の関係もなく、バイナリ内で脅威アクターによって単純かつ意図的に言及されていることに注意することが重要です。

持続性

PUBLOAD は にディレクトリを作成し、悪意のある DLL や正規の実行可能ファイルを含むすべてのマルウェアをそのディレクトリにドロップします。 次に、次のいずれかの方法で永続性を確立しようとします。

1. レジストリ実行キーの追加

cmd.exe /C reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v Graphics /t REG_SZ /d \"Rundll32.exe SHELL32.DLL,ShellExec_RunDLL \"C:\\Users\\パブリック\\ライブラリ\\グラフィックス\\AdobeLicensing.exe\"\" /f

2. スケジュールタスクの作成

schtasks.exe /F /Create /TN Microsoft_Licensing /sc 分 /MO 1 /TR C:\\Users\\Public\\Libraries\\Graphics\\AdobeLicensing.exe

アンチウイルス: コールバック付き API

PUBLOAD マルウェアは、メモリ内の AES アルゴリズムでシェルコードを復号します。 シェルコードは、スレッドを作成するか、さまざまな API を使用することによって呼び出されます。 API はコールバック関数の引数を受け入れ、シェルコードをトリガーする代替として機能します。 GrayStringW、EnumDateFormatsA、LineDDA などのいくつかの API が活用されていることが確認されており、これらはウイルス対策の監視と検出をバイパスする手法と考えられます。

C&Cプロトコル

復号化された PUBLOAD シェルコードは、最初のビーコンのペイロードとしてコンピューター名とユーザー名を収集します。 その後、ペイロードは事前定義された RC4 (Rivest Cipher 4) キーを使用して暗号化されます。 この記事の執筆時点では、これまでに見たすべてのステージャーは同じキーを共有しています。

暗号化後、ステージャーは特定のバイト シーケンスをパケットのヘッダーとして使用します。 暗号化されたデータの前に、マジック バイト「17 03 03」とペイロード サイズが付加されます。

表 4. PUBLOAD でのリクエスト パケットの形式

ステージャーは、応答パケットに同じマジック ヘッダー「17 03 03」があるかどうかもチェックします。 その場合、メモリにダウンロードされたペイロードはシェルコードの一部として扱われ、直接実行されます。

注目すべきデバッグ文字列

2022 年の初めに、デバッグ文字列が埋め込まれた PUBLOAD のサンプルをいくつか発見しました。 これらは、アナリストの注意を主要な感染ルーチンからそらすために使用されます。

8月のナンシー・ペロシ米下院議長の台湾訪問後、繁体字中国語で「裴洛西訪台後民意匯總.rar」(「ペロシ氏の台湾訪問に関する世論の概要」と訳される)という名前のアーカイブファイルを発見したが、アーカイブ ファイル内の悪意のある DLL は 1 つだけ取得できました。 ファイル名自体に示されているトピックは物議を醸すトピックであると考えられるため、対象となる受信者にとってはキャッチーに見える可能性があります。 DLL は、いくつかの出力デバッグ文字列を備えた PUBLOAD ステージャーであることが判明しました。

Trojan.Win32.TONEINS

Trojan.Win32.TONEINS は、TONESHELL バックドアのインストーラーです。 インストーラーは TONESHELL マルウェアを %PUBLIC% フォルダーにドロップし、その永続性を確立します。 TONEINS マルウェアは通常、ルアー アーカイブに含まれており、ほとんどの場合、TONEINS DLL の名前は libcef.dll です。 悪意のあるルーチンは、そのエクスポート関数 cef_api_hash を呼び出すことによってトリガーされます。

TONEINS マルウェアは難読化されているため、マルウェア分析が遅くなる可能性があります。 制御フローには大量のジャンク コードが含まれており、文字列のデコードに使用されることを示唆しているかのように、無駄な XOR 命令が多数含まれています。 確認したところ、これらの難読化されたコードはオープンソース リポジトリから再利用されたものであることがわかりました。

インストーラーは、次の schtasks コマンドを使用して、TONESHELL バックドアの永続性を確立します。

schtasks /create /sc minutes /mo 2 /tn "ServiceHub.TestWindowStoreHost" /tr "C:\Users\Public\Pictures\ServiceHub.TestWindowStoreHost.exe" /f

私たちの観察によると、投下された TONESHELL マルウェアのファイル名は大文字と小文字が異なり、スケジュールされたタスクの名前も異なります。 永続性が確立された後、TONESHELL は正規の実行可能ファイルと悪意のある DLL を %PUBLIC% フォルダーにコピーします。ルアー アーカイブでは、両方のファイルの名前が「~」で始まります。 このサンプルでは、​​~$20220817.docx は DLL サイドローディングに使用される正規の実行可能ファイルであり、~$20220617(1).docx はインストールされる TONESHELL バックドア DLL です。

Backdoor.Win32.TONESHELL

TONESHELL マルウェアは、このキャンペーンで使用される主なバックドアです。 これは、メモリ内の 32 バイトのキーを使用してバックドア シェルコードをロードしてデコードするシェルコード ローダーです。 TONESHELL の以前のバージョンでは、永続性の確立やバックドアのインストールなど、TONEINS マルウェアの機能が備わっていました。 ただし、TONESHELL のより新しいバージョンは、インストーラー機能 (~$Talk Points.docx ファイルなど) のないスタンドアロン バックドアです。 また、TONEINS マルウェアと同様の方法で難読化されており、攻撃者が検出を回避するために兵器庫を更新し続け、ツールを分離していることがわかります。

解析対策: プロセス名チェック

TONESHELL が正しくインストールされていることを確認するために、Backdoor.Win32.TONESHELL はまずプロセス パスが予期されたものと一致するかどうかを確認します。 その場合、カスタム例外ハンドラーによって悪意のあるコードがトリガーされる可能性があります。

分析対策: C++ のカスタム例外ハンドラー

興味深いことに、攻撃者はカスタム例外ハンドラーの実装によって実際のコード フローを隠します。 プロセス名チェックの結果に基づいてさまざまな例外ハンドラーが呼び出され、_CxxThrowException 呼び出しで例外をトリガーすることで悪意のあるルーチンが続行されます。 これが呼び出されると、C++ ランタイムは、ThrowInfo 構造体から、実際の悪意のあるコードを含む _msRttiDscr 構造体の CatchProc メンバーに至るまで、対応する例外ハンドラーを見つけます。 このサンプルでは、​​例外ハンドラーはオフセット 0x10005300 にあります。 この手法は、実行フローを隠すだけでなく、アナリストのデバッガの実行も停止します。

アンチアナリシス: ForegroundWindow チェック

最近の TONESHELL サンプルを確認すると、以前のバージョンと比較して、新しいアンチサンドボックス技術が追加されていることがわかりました。 新しいバージョンでは、GetForegroundWindow API を 2 回呼び出して、ウィンドウの切り替えがあるかどうかを確認します。 環境がサンドボックスの場合、ほとんどのサンドボックスでは人間の介入が含まれないため、両方の呼び出しで同じウィンドウ ハンドルが取得され、その結果、前景ウィンドウは変更されません。 さらに、サンドボックス対策および遅延実行技術として、フォアグラウンド ウィンドウがすでに 5 回切り替えられている場合にのみ、悪意のあるルーチンをトリガーできます。

シェルコードのデコード

悪意のある例外ハンドラーがトリガーされると、次の段階の TONESHELL シェルコードのデコードが開始されます。 シェルコードをデコードするには、まず 0x7D との XOR 演算で 32 バイトのキーをデコードし、次にそのキーを使用してシェルコード本体をデコードします。

進化する亜種

分析とさらなる脅威探索の結果、TONESHELL シェルコードのいくつかの亜種が見つかりました。

表 5. TONESHELL バリアント間の違い

バリアント A

TONESHELL は設計上最大 10 台の C&C サーバーをサポートしていますが、私たちが遭遇したすべてのサンプルでは 1 台の C&C サーバーのみが使用されていました。 C&C サーバーに接続する前に、被害者のボリューム シリアルとコンピュータ名、またはランダムに生成された GUID を使用して被害者 ID (変数 unique_id) を生成します。

最初のビーコンでは、被害者のマシンから次のデータを収集し、C&C サーバーに送信します。

TONESHELL は、特定のマジック バイト シーケンス「17 03 03」で始まるリクエスト ヘッダーとレスポンス ヘッダーを使用して、生の TCP 経由で通信します。 私たちの調査によると、このマジック ヘッダーはすべての TONESHELL TCP 亜種と特定された PUBLOAD マルウェアで使用されています。 パケット内のペイロードは RC4 アルゴリズムで暗号化されます。 このバリアントでは、リクエスト パケットの形式は次のとおりです。

表 6. TONESHELL バリアント A のリクエスト パケット フォーマット

バックドアは、ファイルのアップロード、ファイルのダウンロード、ファイルの実行、横方向の移動などのさまざまな機能をサポートしています。 また、その内部文字列が一目瞭然であることにも気付きました。 実際、このマルウェアは、コマンド「TOnePipeShell」で見つかったタイプミスにちなんで TONESHELL と名付けられています。 次の表に、そのすべてのコマンドを示します。

表 7. TONESHELL バリアント A のコマンド コード

バリアント B

TONESHELL バリアント B はバリアント A とは若干異なり、代わりにティック数、ユーザー名、およびコンピュータ名から被害者 ID が生成されます。

バックドアのプロトコルも異なります。 パケット内のペイロードはランダムな 32 バイトのキーでエンコードされ、キーはパケットごとに異なります。 新しいキーは、新しいリクエストが行われるたびに生成されます。

表 8. TONESHELL バリアント B のリクエスト パケット フォーマット

このバリアントのコマンド コードは次のとおりです。

表 9. TONESHELL バリアント B のコマンド コード

バリアント C

調査中に、VirusTotal からダンプされた TONESHELL シェルコード (SHA256: 521662079c1473adb59f2d7134c8c1d76841f2a0f9b9e6e181aa54df25715a09) を探し出しました。 私たちの分析では、2 つの異なる亜種と同様に動作することが示されましたが、使用される C&C プロトコルは HTTP です。 サンプルは2021年9月にアップロードされたもので、最初のビーコンにPOSTメソッドを使用しているため、TONESHELLの以前のバージョンと思われます。 次のデータが被害者のマシンから収集されます。

被害者の ID (最初のビーコンの「Guid」ヘッダーで指定され、後で「Cookie」ヘッダーで使用される) もランダムな GUID から生成されます。 本文も RC4 で暗号化されており、コマンド コードは次のバリアント B とよく似ています。

表 10. TONESHELL バリアント C のコマンド コード

ここ数か月の間に、いくつかの TONESHELL および TONEINS マルウェア サンプルが VirusTotal にアップロードされたことが確認されました。 これらの助けを借りて、770d5b60d8dc0f32941a6b530c9598df92a7ec76b60309aa8648f9b3a3f3cca5 などのいくつかの Google ドライブ リンクを収集しました。

通常、このようなダウンロード リンクは、最初に到着するベクトルとして認識されます。 Google ドライブの直接ダウンロード リンクは、https[:]//drive.google.com/uc?id=gdrive_file_id&export=download の形式で表されます。 gdrive_file_id は、この特定のファイルの一意の識別子です。 URL: https[:]//drive.google.com/file/d/gdrive_file_id/view を変更することで、Web ビューアに切り替えてファイルの内容とその所有者を確認できます。

詳細パネルでこのファイルの所有者を見つけることができ、アイコンの上にマウスを置くと電子メール アドレスを取得できます。

この特定の電子メール アカウントを使用して、さらなる調査を行うことができます。 たとえば、調査の結果、攻撃者が同じメール アドレスを悪用して、おとりのアーカイブを Google ドライブに保存し、フィッシング メールを配信したことがわかりました。 監視ログでこの特定の電子メール アドレスを探すと、さらに配布されたマルウェアが見つかる可能性があります。

このキャンペーンで観察された TTP は、Secureworks が言及したキャンペーンと類似しています。 どちらのキャンペーンも、.lnk ファイルを悪用してマルウェアを引き起こしました。 上記のレポートの観察と比較すると、このキャンペーンで見つかったアーカイブは同様のフォルダー構造を共有しています。

同じレポートに基づいて、Bronze President はコールバック関数の引数を持つ API を利用して EnumThreadWindows のようなシェルコードを呼び出していることが知られていました。 同様の手法が PUBLOAD マルウェアでも使用されています。

さらに、2 つのキャンペーン間のリンクも発見しました。C&C サーバーの 1 つ (98[.]142[.]251[.]29) がショートカット ファイルに関連付けられている可能性があります。 このショートカット ファイルは、あるルアー アーカイブ「EU 31st session of the Commission on Crime Prevention and Criminal Justice United States on Drugs and Crime.rar」(SHA256: 09fc8bf9e2980ebec1977a8023e8a2940e6adb5004f48d07ad34b71ebf35b877) に含まれており、Secureworks のレポートでも言及されています。 LECmd ツールを使用してショートカット ファイルを解析し、.lnk ファイルのメタデータ内に特定の C&C 文字列を見つけました。 攻撃者はフォルダー名として C&C 文字列を使用したようです。

第三に、Cisco Talos が言及した感染チェーンも、私たちが最近観察したものと似ています。

最も重要なことは、レポートで言及されているステージャーは、TONESHELL が C&C 通信プロトコルで使用しているのと同じマジック ヘッダー (17 03 03) を使用しており、それによってこれらのマルウェア ファミリと Earth Preta とのつながりが強固になっていることです。

Earth Preta は、侵害のために PlugX や Cobalt Strike などの既存のツールと組み合わせて独自のローダーを開発することで知られるサイバースパイ集団です。 最近の研究論文では、ツールセットが常に更新されており、機能がさらに拡張されていることが示されています。

私たちの分析によると、このグループが標的の被害者のシステムに侵入すると、盗まれた機密文書は次の侵入の波の侵入経路として悪用される可能性があります。 この戦略により、関係する地域で影響を受ける範囲が大幅に広がります。 グループの目的からすると、対象地域はアジア諸国とみられる。

組織的な軽減計画の一環として、パートナーと従業員に対して継続的なフィッシング啓発トレーニングを実施することをお勧めします。 特に送信者が特定できない場合や件名が不明な場合は、メールを開く前に必ず送信者と件名を 2 回確認することをお勧めします。 また、マルウェア感染チェーンのできるだけ左にある脅威を検出してブロックするには、多層保護ソリューションを使用することをお勧めします。

マイターアタック&CK

IOC の完全なリストはここでご覧いただけます。

ニック・ダイ

上級脅威研究員

ヴィッキー・スー

脅威アナリスト

サニー・ルー

脅威アナリスト