Mustang Pandaは、APTグループです。
このグループは、東アジア諸国の政府関連組織、軍事組織、少数民族、非政府組織(NGO)を標的とする活動が多く確認されています。
最近ではミャンマーでの活動が観測されています。
彼らは活動の中でいくつものツールを使用するのですが、それらのツールが時間の経過ともに更新されています。
最近更新のあった彼らのツール(マルウェア)を見てみましょう。
- ToneShell
これはバックドア型マルウェアです。
FakeTLSコマンドアンドコントロール通信プロトコルとクライアントIDの作成および保存方法が変更されました。
このマルウェアは この脅威アクターに頻繁に利用されるもので、新しいものだけでも3つの亜種が確認されています。
ファイルを受信してリバースシェルとして機能する非常に小型のバックドア、C2からDLLをダウンロードしてDLLインジェクションを通じて被害者のプロセス内で実行するバックドア、ファイルをダウンロードして標準入力(stdin)、標準出力(stdout)、標準エラー(stderr)ストリームをC2サーバーにリダイレクトするサブプロセスを作成する機能が含まれるバックドアです。 - StarProxy
これは脅威アクターの侵害環境での横移動を容易にするマルウェアです。
FakeTLSプロトコルを活用してトラフィックをプロキシし、攻撃者の通信を容易にします。 - PAKLOGとCorKLOG
これらはいずれもキーロガー型マルウェアです。
PAKLOGは、キーストロークとクリップボードデータを監視するためにグループが使用するキーロガーであり、カスタム文字エンコードスキームを使用してログデータを難読化します。
CorKLOGは、48文字のRC4キーを使用してキーロガーキャプチャファイルの内容を暗号化します。 - SplatCloak
これはcloakingを実現するマルウェアです。
cloakingは攻撃者の活動を不可視化するために実施される行為です。
Windows Defender関連の4つのドライバとKasperskyドライバのカーネルレベルの通知コールバックを無効化します。
マルウェアは時間の経過とともに変更・拡張が行われていきます。
機能面の変更だけでなく、難読化手法も変更と改善が繰り返されます。
そして、活動の隠ぺい化を狙った技法もあわせて使用されます。
侵害活動が開始されてしまうと、発見や対策は困難なものになります。
侵害されてしまった場合に対する対策だけでなく、そもそも侵害が開始されなくするための対策も実施したいものです。
MITRE ATT&CK techniquesの左のほうの対策(偵察行為、侵害活動の準備、初期アクセス、などに関する対策)を頑張る感じですね。
Latest Mustang Panda Arsenal: ToneShell and StarProxy | P1
https://www.zscaler.com/blogs/security-research/latest-mustang-panda-arsenal-toneshell-and-starproxy-p1
| この記事をシェア |
|
|---|
