Source: https://thehackernews.com/2025/09/china-linked-plugx-and-bookworm-malware.html
🛡 概要
中南アジア諸国の通信および製造業界が、PlugXと呼ばれる既知のマルウェアの新しいバリエーションによる攻撃の標的となっています。このマルウェアは、同様の手法を用いるRainyDayやTurianバックドアと機能が重複しており、正当なアプリケーションのDLLサイドローディングを利用しています。最近の分析によると、PlugXの新バージョンは、Lotus Panda(Naikon APT)と関連付けられたRainyDayの構造を採用しており、特に通信会社を狙った攻撃が増加しています。
🔍 技術詳細
PlugXは、中国に関連するハッカーグループによって広く使用されているモジュラーリモートアクセス型トロイの木馬です。Cisco Talosの研究者によると、PlugXの新しいバリエーションは、従来の設定形式から大きく逸脱しており、RainyDayと同様の構造を持っています。特に、PlugXのペイロードを暗号化/復号化するために使用されるXOR-RC4-RtlDecompressBufferアルゴリズムが特徴です。CVE情報は特に確認されていませんが、最近の攻撃では、さまざまな国においてPlugXが悪用されています。
⚠ 影響
PlugXおよびBookwormによる攻撃は、特にアジアの通信業界に深刻な影響を及ぼす可能性があります。これらのマルウェアは、企業の機密データを盗み出し、システムの完全な制御を奪うことができます。特に、Naikonがカザフスタンの通信会社を狙った事件では、BackdoorDiplomacyとの関連性が示唆されています。これにより、攻撃者がターゲットを選定する際の傾向が明らかになり、サイバーセキュリティの脅威が高まっています。
🛠 対策
企業は、PlugXやBookwormのようなマルウェアからの保護のために、強固なセキュリティ対策を講じるべきです。具体的には、DLLサイドローディングを防ぐためのセキュリティポリシーを実施し、ネットワークトラフィックを監視することが重要です。また、定期的な脆弱性スキャンとパッチ適用を行い、マルウェアの侵入を防ぐための教育を従業員に実施することが効果的です。
