カンボジア政府を標的とした新しいAPT32マルウェアキャンペーン

カンボジア政府を標的とした新しいAPT32マルウェアキャンペーン

Recorded FutureのInsikt Groupは、東南アジア諸国連合(ASEAN)をテーマにしたスピアフィッシングを使用して、カンボジア政府を標的とした新しいマルウェアキャンペーンを発見しました。 Insikt Groupは、Recorded Future RATコントローラーの検出とネットワークトラフィック分析を使用して、ベトナムの国家支援の脅威活動グループAPT32(OceanLotus)に起因する新しい運用インフラストラクチャを特定しました。 この評価は、このインフラストラクチャと通信しているいくつかのカンボジアの被害者組織の特定によっても裏付けられており、これらの組織を対象とした以前のキャンペーンと一致しています。

歴史

ベトナムとカンボジアには長い紛争の歴史があり、ベトナムが中国の「弟」であるカンボジアへの報復攻撃を開始した1970年代の中越戦争にまでさかのぼります。ベトナムは2017年、2017年の年次首脳会議でASEANのウェブサイトを標的にしたAPT32を結成し、カンボジア、ラオス、フィリピンの省庁や政府機関のウェブサイトを標的にし、サイバー戦能力の強化に着手した。近年、ベトナムとカンボジアの関係は、この地域における中国の一帯一路構想(BRI)の影響もあって悪 化している 。カンボジアのフン・セン首相が中国の習近平国家主席との距離が近づくにつれ、両国は両国間のパートナーシップを強化し、ベトナムを重要な地域協同組合から追い出している。中国のカンボジアへの投資には、重要インフラ、南シナ海での合同軍事演習、ベトナムとカンボジアの間のタイ湾に戦略的に位置するリーム海軍基地のすぐ北にある新しい不動産開発が含まれます。

新しいAPT32インフラストラクチャ

2020年6月、Insikt Groupは、METALJACKやDenisRATなど、APT32に関連するマルウェア活動を追跡する独自の方法を通じて特定された新しいAPT32運用インフラストラクチャについて報告しました。 これと同じ方法論を使用して、Insikt Groupは、新しいアクティブなAPT32 IPアドレスと関連ドメインを特定し続けています。 Insiktの研究者は、このキャンペーンの一部であるいくつかのサンプルを発見しました: サンプル1:最初のサンプルは、「បញ្ជីបាយនាមអនុឞ័ន្ធធយៜធាបរទេសនិរការិយាល័យសហប្រតិបរសិបសរពបឆាបប្បប្រឍ។។្បរចាំកម្.docxបបរឍ��sent។អ [.]exe」と訳され、「外国の軍事関連文書および軍事協力局のリスト」と訳Cambodia.docx[.]exe」です。 このサンプルは、スピアフィッシングによって配信される可能性が高く、次の 4 つのファイルを含む自己解凍型アーカイブ (SFX) です。

  1. Apple(SoftwareUpdate.exe)によって署名された正当な実行可能ファイル。
  2. 関連する良性のダイナミック リンク ライブラリ (DLL) ファイル (SoftwareUpdateFiles.dll)。
  3. 悪意のあるDLL(SoftwareUpdateFilesLocalized.dll)。
  4. 暗号化されたシェルコードを含む "SoftwareUpdateFiles.locale" という名前のファイル。

SFXを実行すると、Apple実行可能ファイルは、SoftwareUpdateFiles.Resources/en.lprojファイルパスに保存されている悪意のあるDLLをロードする前に、良性のDLLをロードします。 次に、悪意のあるDLLは、SoftwareUpdateFile.localeファイルから暗号化されたシェルコードを抽出して復号化し、それを復号化して実行しながら、ユーザーにおとりのドキュメント(「アクティベーションエラー」を表示するMicrosoft Wordドキュメント)を表示し、最終的に最終的なペイロードをロードします。

apt32-malware-campaign-1-1.png

このローディングプロセスは、2020年のASEAN首脳会議を参照するAPT32サンプルに関連して、Insikt Groupと Ahnlab が以前に報告したAPT32アクティビティと一致します。マルウェア ファミリを特定するためのこれらのアーティファクトのさらなる分析は、Insikt Group 内で進行中であり、より多くのサンプルが分析されるにつれて更新が投稿されます。

サンプル2:2020年10月22日にマルウェアリポジトリにアップロードされた2つ目のサンプルは、これと同じロードプロセスを使用し、特定されたC2ドメインの1つであるcloud.bussinesappinstant[.]コム。

このサンプルでは、SFXファイルを「9_Programme_SOMCA-Japan_FINAL.docx~.exe」と呼んでいますが、 これは、ASEAN文化芸術高級実務者会議(SOMCA)に関連していると考えられ、APT32がASEANや他の加盟国を対象とすることに引き続き関心を持っていることを示しています。

apt32-malware-campaign-2-1.png

このキャンペーンで使用されたおとり文書は、「第7回ASEANプラス日本文化芸術高級実務者会議」の議題が白紙化されています。 (出典:Recorded Future)

このアーカイブ ファイルは、同じ "SoftwareUpdateFilesLocalized.dll" をドロップします 前のサンプルで見たファイル。 TTP(戦術、技術、手順)とインフラストラクチャの重複に加えて、この最新のサンプルにリンクされた悪意のあるDLLは、過去のAPT32サンプルで見られたものと同じリッチヘッダーとインポートハッシュを共有しています。

Insikt Groupは、APT32 C2 IPアドレス43.254.132[.]212.