2018年以降、これまで知られていなかった中国の脅威アクターが、中国と日本のターゲットに対して、敵対者間の中間(AitM)サイバースパイ攻撃において、新しいバックドアを使用していることが明らかになりました。このグループは「Blackwood」と名付けられ、中国の大手製造貿易会社、日本のエンジニアリングおよび製造会社の中国オフィス、中国と日本の個人、そして英国の高名な研究大学に関連する中国語を話す人物を含む特定の被害者が存在します。
Blackwoodがこれまで発見されなかったのは、主に人気のあるソフトウェア製品のアップデートにマルウェアを巧妙に隠す能力と、高度なスパイツールである「NSPX30」というマルウェア自体に起因しています。NSPX30は、2005年1月9日に最初にコンパイルされたとされる「Project Wood」にさかのぼる長い系譜のバックドアから発展してきました。Project Woodは、香港の政治家や台湾、香港、中国南東部のターゲットを狙うために使用されていましたが、その後のバリアントには、2018年まで悪意のあるキャンペーンで生き残った2008年のDCM(別名「Dark Specter」)が含まれます。同年に開発されたNSPX30は、それ以前のすべてのサイバースパイ活動の頂点です。
NSPX30は、ドロッパー、DLLインストーラー、ローダー、オーケストレーター、バックドアで構成される多段階、多機能ツールであり、後者2つには追加の交換可能なプラグインが付属しています。このツールの目的は情報窃盗であり、システムやネットワークに関するデータ、ファイルやディレクトリ、資格情報、キーストローク、スクリーングラブ、オーディオ、チャット、WeChat、Telegram、Skype、Tencent QQなどの人気メッセージングアプリからの連絡先リストなどが含まれます。
NSPX30は、リバースシェルを確立し、中国のアンチウイルスツールの許可リストに自身を追加し、ネットワークトラフィックを傍受する能力を持っています。この最後の能力により、Blackwoodはそのコマンドアンドコントロールインフラストラクチャを効果的に隠すことができ、検出されずに長期間活動を続けることができました。
BlackwoodがNSPX30をマシンに感染させる方法は、フィッシングや感染したウェブページなどの典型的な手口を使用するのではなく、特定の正当なプログラムが暗号化されていないHTTP経由で正当な企業サーバーからアップデートをダウンロードしようとすると、Blackwoodは何らかの方法でそのバックドアを混入させます。ESETは、Blackwoodがネットワークインプラントを使用している可能性があると推測しています。このようなインプラントは、他の中国のAPTが一般的に使用しているように、ターゲットネットワークの脆弱なエッジデバイスに格納されている可能性があります。
NSPX30の拡散に使用されているソフトウェア製品には、WPS Office(MicrosoftやGoogleのオフィスソフトウェアの無料代替品として人気)、QQインスタントメッセージングサービス(マルチメディア大手のTencentが開発)、Sogou Pinyin入力メソッドエディタ(数億人のユーザーを持つ中国市場をリードするピンインツール)が含まれます。
【ニュース解説】
中国の未知の脅威アクター「Blackwood」が、特定のソフトウェアのアップデートを装って、高度なバックドア「NSPX30」を配布していたことがセキュリティ企業ESETの調査により明らかになりました。この攻撃は、2018年以降、中国と日本の企業や個人を対象に行われていましたが、その巧妙な手法により長期間にわたって検出を免れていました。
NSPX30は、2005年に最初にコンパイルされたとされる「Project Wood」から発展したバックドアの系譜に属しており、ドロッパー、DLLインストーラー、ローダー、オーケストレーター、バックドアなど、複数の機能を持つ多段階のツールです。このツールは、システム情報の盗取、ファイルやディレクトリのアクセス、資格情報の取得、キーストロークの記録、スクリーンショットの取得、オーディオの録音、メッセージングアプリからの連絡先リストの抽出など、多岐にわたる情報窃盗を目的としています。
特に注目すべきは、BlackwoodがNSPX30を配布する手法です。一般的なフィッシング攻撃や感染したウェブページを利用するのではなく、正規のソフトウェアがアップデートをダウンロードする際に、暗号化されていないHTTP通信を利用してバックドアを注入していました。これにより、ユーザーは自らの意志でソフトウェアを更新する過程で、知らず知らずのうちにマルウェアに感染してしまうリスクがありました。
この手法の背後には、ネットワークインプラントが関与している可能性が指摘されています。これは、ターゲットとなるネットワーク内の脆弱なエッジデバイスに潜ませることで、通信を傍受し、マルウェアを注入するものです。このような攻撃は、コマンドアンドコントロールサーバーを隠蔽することも可能にし、長期間にわたる検出回避に寄与していると考えられます。
このニュースは、ソフトウェアのアップデートプロセスにおけるセキュリティの重要性を改めて浮き彫りにしています。特に、アップデートの際にはHTTPSなどの暗号化された通信を使用することの重要性が示されています。また、企業や個人は、自身のネットワーク内のデバイスのセキュリティを常に確認し、脆弱性があれば迅速に対処する必要があります。
一方で、このような高度なサイバースパイ活動は、国家間の情報戦争の一環として行われることが多く、国際的な緊張関係を高める要因となることもあります。サイバーセキュリティの規制や国際協力の強化が、今後さらに重要になるでしょう。また、長期的には、サイバー攻撃の手法が進化し続ける中で、防御側も新たな対策技術の開発と人材育成に注力する必要があると言えます。
from Newly ID'ed Chinese APT Hides Backdoor in Software Updates.
