>
Insiktレポート

カンボジア政府を標的とした新しいAPT32マルウェアキャンペーン

投稿: 2020年11月10日
作成者 : チャリティー・ライト

Recorded FutureのInsikt Groupは、東南アジア諸国連合(ASEAN)をテーマにしたスピアフィッシングを使用して、カンボジア政府を標的とした新しいマルウェアキャンペーンを発見しました。 Insikt Groupは、Recorded Future RATコントローラーの検出とネットワークトラフィック分析を使用して、ベトナムの国家支援の脅威活動グループAPT32(OceanLotus)に起因する新しい運用インフラストラクチャを特定しました。 この評価は、このインフラストラクチャと通信しているいくつかのカンボジアの被害者組織の特定によっても裏付けられており、これらの組織を対象とした以前のキャンペーンと一致しています。

歴史

ベトナムとカンボジアには長い紛争の歴史があり、1970年代の中越戦争でベトナムが中国の「弟分」であるカンボジアへの報復攻撃を開始したことにまでさかのぼる。 2017年、ベトナムはサイバー戦争能力の強化を開始し、2017年の年次サミットでASEANのウェブサイトを標的としたAPT32を結成したほか、カンボジア、ラオス人民民主共和国、フィリピンの省庁や政府機関のウェブサイトも標的とした。 近年、ベトナムとカンボジア の関係は、 この地域での中国の一帯一路構想(BRI)の影響もあり、悪化している。 カンボジアのフン・セン首相が中国の習近平国家主席と親しくなるにつれ、両国間のパートナーシップを強化し、ベトナムは重要な地域協力から脱却した。 カンボジアに対する中国の投資 には、重要インフラ、南シナ海での合同軍事演習、ベトナムとカンボジアの間のタイ湾に戦略的に位置するリアム海軍基地のすぐ北にある新たな不動産開発などがある。

新しいAPT32インフラストラクチャ

2020年6月、Insikt Groupは、METALJACKやDenisRATなど、APT32に関連するマルウェア活動を追跡する独自の方法を通じて特定された新しいAPT32運用インフラストラクチャについて報告しました。 これと同じ方法論を使用して、Insikt Groupは、新しいアクティブなAPT32 IPアドレスと関連ドメインを特定し続けています。 Insiktの研究者は、このキャンペーンの一部であるいくつかのサンプルを発見しました: サンプル1:最初のサンプルは、「បញ្ជីបាយនាមអនុឞ័ន្ធធយៜធាបរទេសនិរការិយាល័យសហប្រតិបរសិបសរពបឆាបប្បប្រឍ។។្បរចាំកម្.docxបបរឍ��sent។អ[.]exe」と訳され、「外国の軍事関連文書および軍事協力局のリスト」と訳Cambodia.docx[.]exe」です。 このサンプルは、スピアフィッシングによって配信される可能性が高く、次の 4 つのファイルを含む自己解凍型アーカイブ (SFX) です。

  1. Apple(SoftwareUpdate.exe)によって署名された正当な実行可能ファイル。
  2. 関連する良性のダイナミック リンク ライブラリ (DLL) ファイル (SoftwareUpdateFiles.dll)。
  3. 悪意のあるDLL(SoftwareUpdateFilesLocalized.dll)。
  4. 暗号化されたシェルコードを含む "SoftwareUpdateFiles.locale" という名前のファイル。

SFXを実行すると、Apple実行可能ファイルは、SoftwareUpdateFiles.Resources/en.lprojファイルパスに保存されている悪意のあるDLLをロードする前に、良性のDLLをロードします。 次に、悪意のあるDLLは、SoftwareUpdateFile.localeファイルから暗号化されたシェルコードを抽出して復号化し、それを復号化して実行しながら、ユーザーにおとりのドキュメント(「アクティベーションエラー」を表示するMicrosoft Wordドキュメント)を表示し、最終的に最終的なペイロードをロードします。

apt32-malware-campaign-1-1.png

このロードプロセスは、2020年のASEANサミットを参照するAPT32サンプルに関連して、Insikt Groupと Ahnlab が以前に報告したAPT32の活動と一致します。 マルウェアファミリーを特定するためのこれらのアーティファクトのさらなる分析は、Insikt Group内で進行中であり、より多くのサンプルが分析されるたびに更新が掲載されます。

サンプル2:2020年10月22日にマルウェアリポジトリにアップロードされた2つ目のサンプルは、これと同じロードプロセスを使用し、特定されたC2ドメインの1つであるcloud.bussinesappinstant[.]コム。

このサンプルでは、SFXファイルを「9_Programme_SOMCA-Japan_FINAL.docx~.exe」と呼んでいますが、 これは、ASEAN文化芸術高級実務者会議(SOMCA)に関連していると考えられ、APT32がASEANや他の加盟国を対象とすることに引き続き関心を持っていることを示しています。

apt32-malware-campaign-2-1.png

このキャンペーンで使用されたおとり文書は、「第7回ASEANプラス日本文化芸術高級実務者会議」の議題が白紙化されています。 (出典:Recorded Future)

このアーカイブ ファイルは、同じ "SoftwareUpdateFilesLocalized.dll" をドロップします 前のサンプルで見たファイル。 TTP(戦術、技術、手順)とインフラストラクチャの重複に加えて、この最新のサンプルにリンクされた悪意のあるDLLは、過去のAPT32サンプルで見られたものと同じリッチヘッダーとインポートハッシュを共有しています。

Insikt Groupは、APT32 C2 IPアドレス43.254.132[.]212.

関連