記事本文(要約)
中国に関連する脅威アクターMustang Pandaが、ミャンマーの組織を標的としたサイバー攻撃を行った。この攻撃では、TONESHELLというバックドアが更新され、StarProxyという側方移動ツール、新しいキー入力記録プログラムPAKLOGとCorKLOG、EDR回避用のドライバSplatCloakが使用された。TONESHELLには、FakeTLSプロトコルの通信方法が変更されている。StarProxyは、侵入後にネットワーク内部のワークステーションへのアクセスを助ける。BRICKSTORMという新しいバージョンのマルウェアも欧州でのWindows環境攻撃に使われている。これは、File managerやネットワークトンネリングを提供し、C2サーバーとの通信にDoHを使用して検出を回避する。
※この要約はChatGPTを使用して生成されました。
公開日: Thu, 17 Apr 2025 20:52:00 +0530
Original URL: https://thehackernews.com/2025/04/mustang-panda-targets-myanmar-with.html
詳細な技術情報
- CVE番号
- 現在のところ、Mustang Pandaに関連する具体的なCVE番号は挙げられていませんが、文章中で言及されているBRICKSTORMに関連するCVE番号には、CVE-2023-46805とCVE-2024-21887が含まれています。
- 脆弱性の仕組み
- Mustang Pandaは、多様なマルウェアとツールを使用しており、特に以下の点で脆弱性を利用しています。
- FakeTLSプロトコルと独自のエンコード手法 – 通信の秘匿化と難読化に利用。
- DLLサイドローディング – 正当なプロセスにマルウェアを注入して実行する技術。
- キー入力ログ取得 – キーロガーを使用した情報収集。
- EDR回避 – SplatCloakの使用により、セキュリティソフトウェアを回避。
- ネットワークトンネリング – リモート命令の送信を容易に。
- Mustang Pandaは、多様なマルウェアとツールを使用しており、特に以下の点で脆弱性を利用しています。
- 攻撃手法
- TONESHELL – バックドア機能を提供し、後続のペイロードをダウンロードして実行。3つのバリアントがあり、リバースシェルの提供、DLLのダウンロードと注入、カスタムTCPプロトコルによるコマンド実行を行います。
- StarProxy – 偽のTLSを利用してトラフィックをプロキシ、C2通信を覆い隠す。
- PAKLOGとCorKLOG – キーロギングを行い、収集したデータを保存。
- SplatCloak – WindowsカーネルドライバとしてEDR機能を無効化。
- 潜在的な影響
- 情報漏洩 – キーロガーを使用することで、パスワードや機密情報が漏洩する可能性。
- システム制御 – バックドアにより攻撃者がシステムを制御。
- ネットワークの横方向移動 – 内部ネットワークへのアクセス拡大。
- セキュリティ無効化 – セキュリティソフトウェアの検知を回避。
- 推奨される対策
- ソフトウェアのアップデート – 脆弱性のあるソフトウェアを常に最新の状態に保つ。
- 侵入検知・防御システムの導入 – ネットワークトラフィックを監視し、不審な通信を検出。
- セキュリティパッチの適用 – CVE-2023-46805とCVE-2024-21887のような既知の脆弱性については、パッチを直ちに適用。
- ユーザー権限の見直し – 不必要な管理者権限を持つユーザーやサービスアカウントを制限。
- 教育とトレーニング – 社員に対するセキュリティ意識向上のための教育。
- 多要素認証(MFA) – システムアクセス時に、追加の認証手段を導入。
