中国のサイバー諜報グループ「PlushDaemon」は、韓国のVPN開発企業IPanyを標的にしたサプライチェーン攻撃を実施し、企業のソフトウェアに悪質なバックドアを仕込むことに成功しました。この攻撃は、VPNインストーラーに潜伏したマルウェア「SlowStepper」を使用し、ユーザーの個人情報や機密データを収集することを目的としていました。本記事では、PlushDaemonの攻撃手法やこれまでの活動履歴、そして今後の脅威について詳しく解説します。
サプライチェーン攻撃の発覚
中国の新たなサイバー脅威グループ「PlushDaemon」が、韓国のVPN開発企業IPanyを標的にしたサプライチェーン攻撃を仕掛けました。この攻撃は、VPNソフトのインストーラーに悪質なコードを仕込むことで行われ、ユーザーがダウンロードしたソフトウェアにバックドアを導入し、サイバー諜報活動を行う目的でした。ESET Researchの調査によると、PlushDaemonは過去にも正規のアプリケーションのアップデートを悪用する手法を取っていましたが、今回はVPNインストーラーにコードを埋め込む形で攻撃を行ったことが特徴です。
これまでの活動履歴とターゲット
PlushDaemonは少なくとも2019年から活動を開始しており、中国本土、台湾、香港、韓国、アメリカ、ニュージーランドなど、複数の国・地域の個人や団体を標的にしたサイバー諜報活動を展開しています。主に自作のマルウェア「SlowStepper」を利用し、感染したマシンからデータを収集していました。今回の攻撃では、特にこの「SlowStepper」の軽量バージョンが使われ、IPanyのVPNソフトに仕込まれたことが確認されています。
SlowStepperバックドアの詳細
SlowStepperは、PlushDaemonの専用バックドアで、30以上のモジュールを備えた高度なツールです。このバックドアはDNSを使った多段階のコマンド&コントロール(C2)プロトコルを使用しており、PythonやGoで書かれたモジュールをダウンロード・実行する機能を持っています。これにより、ユーザーの音声や映像の録音、広範なデータ収集、スパイ活動を実行可能にします。IPany攻撃で使用された「Lite」バージョンは、フルバージョンに比べて機能が制限されていますが、それでも依然として高度なスパイ機能を持っています。
過去の感染事例と拡大する脅威
ESETの調査によれば、韓国の半導体企業やソフトウェア開発会社など、複数のユーザーが今回のトロイの木馬ソフトをネットワークにインストールしようとしたことが確認されています。また、2023年11月には日本、12月には中国からも感染事例が報告されています。PlushDaemonはこれまでに多くのターゲットを感染させており、その活動範囲は広がりを見せています。
さらに進化する中国のAPT(Advanced Persistent Threat)
中国はすでに多数のAPTグループを抱えており、アメリカやその同盟国に対するサイバー諜報活動を活発に行っています。最近では「Salt Typhoon」というAPTが米国のブロードバンドプロバイダーのネットワークに侵入する事件もありました。これに関連して、2023年1月21日にトランプ元大統領がサイバー安全保障委員会の解雇を決定したため、調査は大きな影響を受けました。
PlushDaemonはこれらの既存のAPTに新たに加わり、特にそのツールセットの多様性と進化したバックドア技術によって、今後さらに警戒が必要な存在となるとESETは警告しています。PlushDaemonは、他のAPTグループと同様に、複数のツールや手法を開発・運用しており、組織はこれらの新たな脅威に対して一層の注意を払う必要があります。
結論と今後の対応
PlushDaemonの出現により、企業や組織は中国を起源とするサイバー脅威に対して一層の警戒を強化する必要があります。ESETはGitHubで、PlushDaemonの活動に関するインジケーター(IoC)やサンプルを公開しており、セキュリティ専門家が早期に侵入を検出できるよう支援しています。これにより、組織はこの新たなAPTグループに対抗するための防御策を講じることができます。
出典
DARKREADING:Chinese Cyberspies Target South Korean VPN in Supply Chain Attack
