Bitdefenderは5月22日(現地時間)、「Deep Dive Into Unfading Sea Haze: A New Threat Actor in the South China Sea」において、中国の支援を受けているとみられるサイバー攻撃グループ「Unfading Sea Haze」が2018年から南シナ海周辺地域の軍および政府機関を標的に情報収集およびスパイ活動を実施していると報じた。この調査結果は論文としてまとめられており、「(PDF) Deep Dive into the Unfading Sea Haze - A technical look at a threat actor’s ever-evolving tools and tactic | Bitdefender」から閲覧可能。

  • Deep Dive Into Unfading Sea Haze: A New Threat Actor in the South China Sea

    Deep Dive Into Unfading Sea Haze: A New Threat Actor in the South China Sea

脅威グループ「Unfading Sea Haze」の正体

Bitdefenderは今回発見した攻撃の実行者について調査した結果、過去の脅威アクターとの一致が見られないとして、新たに「Unfading Sea Haze」と名付けている。Unfading Sea Hazeの攻撃対象は主に南シナ海周辺地域の軍および政府機関とされ、その利益は中国にもたらすことを示唆している。

また、使用している技術の一部が中国との関係が疑われている持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「APT41」と似ているため、APT41と情報を共有している人物が関わっている可能性がある。他にも、中国の攻撃者に人気の「Gh0st RAT」の亜種を使用していることから、Unfading Sea Hazeは中国の支援を受けているグループと推測されている。

侵害経路

Unfading Sea Hazeが使用した初期の侵害経路は不明とされる。これは6年以上前の出来事のため証拠が乏しいことが原因。しかしながら、近年はスピアフィッシングメールを使用して攻撃していることが確認されている。スピアフィッシングメールにはアーカイブファイルが添付されており、アーカイブファイルにはドキュメントを装ったLNKファイルが含まれてるという。

LNKファイルを開くと悪意のあるコマンドが実行され、システムが侵害される。この攻撃は2023年3月から5月まで複数回試みられたという。Bitdefenderは確認された悪意のあるコマンドから悪意のあるペイロードの取得に成功しており、これが「SerialPktdoor」と呼ばれるバックドアだったことを確認している。

また、2024年3月にも同様の攻撃を確認している。この攻撃でもLNKファイルが使用され、悪意のあるPowerShellスクリプトから正規の「MSBuild.exe」を実行してシステムを侵害したという。MSBuild.exeはソフトウェアを構築する標準的なツールだが強力な機能があり、リモートのSMB(Server Message Block)サーバ上の作業ディレクトリからビルドプロセスを開始することができる。

攻撃グループはこの機能を使用し、悪意のあるビルドプロセスを実行する。この手法を使用するとリモートのプロジェクトファイルをメモリ内に読み込んで実行するため、被害者の環境に痕跡を残さずに侵害することができる。

  • MSBuild.exeを使用した侵害経路の例 - 引用:Bitdefender

    MSBuild.exeを使用した侵害経路の例  引用:Bitdefender

影響と対策

Bitdefenderによると、Unfading Sea Hazeは最終的にマルウェア「Gh0st RAT」の亜種を使用して情報収集やスパイ活動を実施するという。亜種は複数種類が確認されている。脅威グループはこれらマルウェアの展開と永続化に成功すると、「xkeylog」と呼ばれるキーロガーを実行してすべてのキーボード入力を窃取する。

他にも、次のような活動を実施するとみられる。

  • 情報窃取マルウェアをインストールし、主要なWebブラウザーの情報(Cookieなど)を窃取する
  • USBデバイスを監視し、デバイスに関する情報を窃取する
  • 特定の日付以降に変更されたファイル(docxやpdf)を窃取する
  • TelegramやViberなどメッセージアプリのデータを窃取する

Bitdefenderはこの攻撃を防止するための推奨事項を複数提示しており、攻撃される可能性のある企業や組織の管理者に対して実践を推奨している。また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。