RSS クラウド ブログ
フォロー
偽装された深度:中国発のNexusスパイ活動キャンペーン、ウェブトラフィックを乗っ取り外交官を標的に
Google Threat Intelligence Groupは、中国とつながりのある攻撃者UNC6384が東南アジアの外交官を標的とした、複雑なサイバー諜報活動キャンペーンを特定しました。このキャンペーンでは、キャプティブポータル乗っ取りを利用してユーザーを悪意のあるウェブサイトにリダイレクトします。その後、デジタル署名されたダウンローダーであるSTATICPLUGINが配信され、攻撃が開始されます。最終的な目的は、PlugXとしても知られるSOGU.SECバックドアのインメモリ展開です。この攻撃チェーンは、正規のコード署名証明書や中間者攻撃(Adversary-in-the-Middle)技術を含む、高度なソーシャルエンジニアリングを採用しています。Googleは、影響を受けた個人に警告し、セキュリティ対策を強化することで、ユーザーを積極的に保護しています。また、特定された悪意のあるリソースをGoogleセーフブラウジングリストに追加しました。マルウェアペイロードは、ターゲットを欺るためにソフトウェアまたはプラグインのアップデートとして偽装されています。このキャンペーンでは、Adobe Pluginのアップデートを装ったキャプティブポータル乗っ取りを利用して、初期マルウェアを配信します。ランディングページは正規のソフトウェアアップデートサイトを模倣し、信頼性を高めるために正規のTLS証明書を使用したHTTPSを使用しています。Googleは、ユーザーにEnhanced Safe Browsingの有効化、デバイスのアップデート、および2段階認証プロセス(2-Step Verification)の使用を推奨しています。