Symantecは7月23日(米国時間)、「Daggerfly: Espionage Group Makes Major Update to Toolset|Symantec Enterprise Blogs」において、中国の国家支援を受けているとみられる持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「Daggerfly(別名:Evasive Panda)」が攻撃ツールを更新したとして、注意を喚起した。新しい攻撃ツールは台湾の組織、中国に拠点を置く米国の非政府組織(NGO: Non-Governmental Organization)に対する攻撃に使用されたとみられている。
新しい攻撃ツールの概要
Symantecが確認した新しい攻撃ツールは、macOSのバックドア「Macma」の亜種およびWindowsのバックドア「Nightdoor(別名:NetMM、Trojan.Suzafk)」の亜種とされる。いずれも同じ共有ライブラリを使用して開発されており、開発者の同一性を示している。
macOSのバックドア「Macma」は2021年にGoogleによって初めて文書化された。2019年から存在が確認されており、当初は水飲み場型攻撃に使用された。主な機能としては、以下が挙げられている。
- デバイス識別子の窃取
- コマンドの実行
- 画面のキャプチャ
- キーロガー
- オーディオキャプチャ
- ファイルのアップロードおよびダウンロード
Symantecによると、新たに発見されたMacmaには、上記に加え次の機能追加および機能改善が行われているという。
- treeコマンドと同様の方式によるファイル一覧の窃取
- オーディオキャプチャ機能の修正
- 追加のパラメータ
- 追加のデバッグログ
- 画面キャプチャーのサイズおよびアスペクト比を調整する新しいファイルの追加
Windowsのバックドア「Nightdoor」は2024年3月にESETによって初めて文書化された。OneDriveをコマンド&コントロール(C2: Command and Control)サーバとして使用できる多段階のバックドアとされる。主な機能としては、cmd.exeシェルの作成、ipconfig、systeminfo、tasklist、netstatの実行機能があるとされる。
対策
Daggerflyは主要なオペレーティングシステムを標的にした攻撃ツールを開発する能力を持つとみられている。SymantecはmacOS、Windowsの他にもAndroid、Solarisを標的にしたマルウェアを確認したとしている。
Symantecは、調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。