セキュリティベンダ「Check Point」の発表にで、ヨーロッパ諸国を標的にした攻撃キャンペーン「SMUGX」が明らかになっている。
この攻撃は、高度な標的型攻撃(APT)グループである「Earth Preta」によるもので、別名「Mustang Panda」、「Bronze President」として知られている。
2023年、トレンドマイクロが台湾の行政機関に送られたフィッシングメールを解析した際、カスタマイズされたマルウェア「PlugX」が発見された。
この調査により、これまでヨーロッパがターゲットだった攻撃がアジアにも拡大していることが明らかになっている。
特に、台湾、ベトナム、その他のアジア諸国や地域での攻撃が確認されているという。
このカスタマイズ版PlugXは、2022年から広く使われており、Secureworks、Recorded Future、Check Point、Lab52などの機関から調査報告が出ている。
また、PlugX にはUSBワームのモジュール「KillSomeOne」も搭載されており、これに関する情報はSophosやAviraが以前から報告されている。
KillSomeOneは、感染したコンピュータに接続されたUSBデバイスに自動的に悪意のあるファイルを書き込むことで、USBデバイスを介して他のコンピュータに感染を広げる。
このようなUSBデバイスを介した感染手法は、外部からの攻撃を排除し、内部のネットワークを感染させるために利用されることがある。
KillSomeOneは、PlugXの機能の一部として利用され、攻撃者がシステム内での感染を効果的に広げるための手段として機能するとみられている。
PlugXによる攻撃手法と侵入経路としては、手始めにスピアフィッシングメールが主に使われ、Google Driveへのリンクへ誘導する。
このリンクからマルウェアがダウンロードされ、ターゲットの端末に侵入を開始するというものだという。
Earth Pretaはアジア太平洋およびヨーロッパを中心に攻撃活動を行っており、特にスピアフィッシングメールやGoogle Driveリンクを使用する。
Trend Microは、Earth Pretaの攻撃手法に警戒し、対策を講じる必要があると注意喚起。
今後も攻撃が継続される可能性が高く、セキュリティ意識の向上と対策の強化が求められている。
【参考記事】
標的型攻撃(APT)グループ「Earth Preta」がマルウェア「DOPLUGS」を用いてアジア諸国や地域を攻撃
https://www.trendmicro.com/ja_jp/research/24/c/earth-preta-campaign-targets-asia-doplugs.html