カスペルスキー、「Tropic Trooper」の新たなサイバースパイ活動を発見

記事の画像

　カスペルスキーは、2011年から主にアジア太平洋地域で活動しているAPT（持続的標的型）攻撃グループ「Tropic Trooper」が展開する、新たな攻撃活動を発見したと発表した。　攻撃活動は、23年6月から1年以上にわたって中東のある政府機関を標的に、サイバースパイ活動を行うことを目的としていることがわかった。標的のネットワークに不正アクセスし、ネットワーク内にとどまるため、攻撃者はウェブ対応言語で記述された悪意のあるスクリプトであるウェブシェルの「China Chopper」を悪用していた。

　Tropic Trooperは、少なくとも11年から活動しているAPT攻撃グループ。もともとは台湾やフィリピン、香港などにおける政府機関や医療、運輸、ハイテクなどの業種を主な標的としていた。調査を通じて、Tropic Trooperが24年に中東のある政府機関を標的とした継続的な攻撃活動を行っており、少なくとも23年6月にはこの活動を開始していたことが判明した。

　24年6月に、同社のテレメトリが悪名高いウェブシェルChina Chopperの新たな亜種を検知した。詳細を調査したところ、このウェブシェルコンポーネントは、オープンソースのコンテンツ管理システム（CMS）であるUmbraco CMSをホストする、公開ウェブサーバー上にモジュールとして埋め込まれていた。攻撃者は、サイバースパイ活動の最終目的として、データ窃取、フルリモート管理、マルウェアの展開、高度な検知回避など、幅広い悪意のある機能を獲得するべく、このプラットフォームを悪用していた。

　さらに、新たにDLL検索順序ハイジャックのインプラントを特定した。これは、Windowsが読み込むDLL（ダイナミックリンクライブラリー）の検索ディレクトリを操作し、悪意のあるDLLを読み込ませる手法。必要なDLLへのフルパス指定がないために、正規ではあるが脆弱性のある実行ファイルから読み込まれていた。この攻撃チェーンは、Crowdoorと呼ばれるローダーの展開を試みており、カスペルスキー製品が初期のCrowdoorローダーをブロックすると、攻撃者はすぐに同様の影響力をもつ未知の亜種に切り替えた。

　この攻撃活動は、Tropic Trooperとして知られる中国語話者の脅威アクターによるものとカスペルスキーはみている。分析結果から、最近のTropic Trooperの攻撃活動で使われた手法と多くの共通点があることが判明しており、分析したサンプルにも過去にTropic Trooperに結びつけられたサンプルとの間に強い相関関係が見られるとしている。