PlushDaemon APT グループ: 秘密のサイバー作戦の詳細

Table of Contents

巧妙化するサイバー脅威の解明

PlushDaemon は、中国とつながりのある APT (高度で持続的な脅威) グループであり、サイバースパイ活動の高度なプレーヤーです。このグループは、韓国の仮想プライベートネットワーク (VPN) プロバイダーを標的とした攻撃で注目を集め、その活動の重要な瞬間を象徴しています。この攻撃は、ユーザーがソフトウェア更新に寄せる信頼を悪用し、正規のインストールファイルに悪質なコードを埋め込みました。

このグループは少なくとも 2019 年から活動しており、中国、台湾、香港、韓国、米国、ニュージーランドの組織を含む幅広いターゲットに注力しています。PlushDaemon は、綿密に設計されたバックドアである SlowStepper を活用しており、これが活動の基盤となっています。30 を超えるコンポーネントを搭載したこの特注のツールキットは、このグループの技術力と長期的な戦略計画を浮き彫りにしています。

PlushDaemon の活動の目的

PlushDaemon の活動の根底にある目的は、機密情報を収集し、侵害されたネットワークへの長期的なアクセスを維持することです。活動の中心となる SlowStepper バックドアは、データを盗み出し、活動を監視し、標的のシステムでさまざまなコマンドを実行するように設計されています。SlowStepper を通じて、PlushDaemon は、特にテクノロジー、製造、ソフトウェア開発などの業界に関連する高価値ネットワークに侵入しようとします。

このグループは、正当なソフトウェア更新チャネルの乗っ取りや Web サーバーの脆弱性の悪用など、さまざまな手法を使って目的を達成しています。侵入した VPN プロバイダーのセットアップファイルなど、信頼できるソフトウェアインストーラー内にコードを埋め込むことで、検出を逃れながら無防備なユーザーに感染する可能性が高まります。

PlushDaemon の活動の影響

PlushDaemon の活動の影響は、個々のユーザーをはるかに超えています。このグループのサプライチェーンへの侵入能力 (信頼できるソフトウェアをソースから侵害する能力) は、連鎖反応を引き起こし、接続された組織のエコシステム全体を危険にさらす可能性があります。PlushDaemon は、グローバルインフラストラクチャにとって重要な業界をターゲットにすることで、大規模な業務の妨害や知的財産の盗難の可能性を示しています。

テレメトリデータによると、PlushDaemon の侵害されたインストーラーは、韓国の半導体企業とソフトウェア開発会社に関連する環境で使用されていました。この発見は、独自の技術やデータにアクセスすることで、かなりの情報や経済的利点が得られる可能性がある、戦略的に重要な組織にこのグループが重点を置いていることを浮き彫りにしています。

SlowStepper バックドアの内部

SlowStepper バックドアは、PlushDaemon の技術的洗練さの証です。C++、Python、Go で書かれたこのバックドアは、モジュールアーキテクチャを採用しており、さまざまな運用ニーズに適応できます。広範なシステム情報を収集し、オーディオとビデオを記録し、ブラウザーデータを収集し、機密ファイルを抽出する機能が含まれています。

SlowStepper の特徴は、コマンドアンドコントロール通信への多段階アプローチです。DNS クエリを使用して IP アドレスを取得し、サーバーとの接続を確立することで、検出と削除の試みに対する耐性を確保します。さらに、Python ベースのツールにより、カスタムモジュールをオンザフライで実行できるため、PlushDaemon は変化する目的に基づいて攻撃を柔軟にカスタマイズできます。

サプライチェーン攻撃の概要

PlushDaemon による 2023 年の韓国の VPN プロバイダーへの攻撃では、プロバイダーのインストールパッケージが巧妙に侵害されました。変更されたインストーラーは、正規のソフトウェアを展開しただけでなく、SlowStepper バックドアもインストールしました。この罠が仕掛けられたパッケージをダウンロードしたユーザーは、知らないうちにシステムを悪意のある活動の連鎖にさらしていました。

この作戦は、正規のソフトウェアに対する信頼を武器にして従来のセキュリティ対策を回避するサプライチェーン攻撃の危険性を浮き彫りにしています。このような攻撃は、ユーザーが信頼できるベンダーやソフトウェアプロバイダーに抱く本来の信頼を悪用するため、特に陰険です。