中国のサイバー攻撃グループ、Macを狙うマルウェアアップデート

画像提供：マイナビニュース

Symantecは7月23日(米国時間)、「Daggerfly: Espionage Group Makes Major Update to Toolset｜Symantec Enterprise Blogs」において、中国の国家支援を受けているとみられる持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「Daggerfly(別名：Evasive Panda)」が攻撃ツールを更新したとして、注意を喚起した。新しい攻撃ツールは台湾の組織、中国に拠点を置く米国の非政府組織(NGO: Non-Governmental Organization)に対する攻撃に使用されたとみられている。

○新しい攻撃ツールの概要

Symantecが確認した新しい攻撃ツールは、macOSのバックドア「Macma」の亜種およびWindowsのバックドア「Nightdoor(別名：NetMM、Trojan.Suzafk)」の亜種とされる。いずれも同じ共有ライブラリを使用して開発されており、開発者の同一性を示している。

macOSのバックドア「Macma」は2021年にGoogleによって初めて文書化された。2019年から存在が確認されており、当初は水飲み場型攻撃に使用された。主な機能としては、以下が挙げられている。

デバイス識別子の窃取
コマンドの実行
画面のキャプチャ
キーロガー
オーディオキャプチャ
ファイルのアップロードおよびダウンロード

Symantecによると、新たに発見されたMacmaには、上記に加え次の機能追加および機能改善が行われているという。

treeコマンドと同様の方式によるファイル一覧の窃取
オーディオキャプチャ機能の修正
追加のパラメータ
追加のデバッグログ
画面キャプチャーのサイズおよびアスペクト比を調整する新しいファイルの追加

Windowsのバックドア「Nightdoor」は2024年3月にESETによって初めて文書化された。OneDriveをコマンド＆コントロール(C2: Command and Control)サーバとして使用できる多段階のバックドアとされる。主な機能としては、cmd.exeシェルの作成、ipconfig、systeminfo、tasklist、netstatの実行機能があるとされる。
○対策

Daggerflyは主要なオペレーティングシステムを標的にした攻撃ツールを開発する能力を持つとみられている。SymantecはmacOS、Windowsの他にもAndroid、Solarisを標的にしたマルウェアを確認したとしている。

Symantecは、調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
（後藤大地）