Palo Alto Networksは4月26日(米国時間)、「Chinese Alloy Taurus Updates PingPull Malware」において、中国に関連するサイバー攻撃グループがLinuxを標的とするキャンペーンを展開していると伝えた。Alloy TaurusがPingPullマルウェアの新しい亜種を配布していることが明らかとなった。
Alloy Taurus(別名GALLIUM、Softcell)は少なくとも2012年から存在し、中国に拠点を置く高度な持続的標的型攻撃(APT: Advanced Persistent Threat)グループとされている。過去にアジア、ヨーロッパ、アフリカの電気通信会社を攻撃しており、最近では金融機関や政府機関も攻撃対象としていることが確認されている。
PingPullは2021年9月に初めて観測されたトロイの木馬型マルウェア。サイバー犯罪者に対してリバースシェルへのアクセスを提供し、侵入先のホストで任意のコマンドを実行できる機能を提供するといわれている。Palo Alto Networksの脅威インテリジェンスチームであるUnit 42は、昨年6月にPingPullの機能を概説する研究を発表し、このマルウェアがAlloy Taurusに関連していると報告している(参考「中国のサイバー犯罪グループ、新たなトロイの木馬型マルウェアを用いた攻撃 | TECH+(テックプラス)」)。
Linuxを狙う新たなPingPullマルウェアが発見された。このサンプルは実行時に、コマンド&コントロール(C2: Command and Control)用に8443ポートを介してドメイン「yrhsywu2009.zapto[.]org」と通信するように設定されていることがわかった。静的にリンクされたOpenSSLライブラリを使用し、HTTPS経由でドメインとやり取りするという。
このコマンド&コントロールドメインと通信するもう一つのマルウェアも特定されている。Sword2033と呼ばれるバックドア型マルウェアでファイルのアップロードや流出、コマンドの実行など、バックドアとして基本的な機能をサポートしていることが判明している。
PingPullやSword2033などのサイバー攻撃から、Alloy Taurusが諜報活動を支援するために進化を続けていることを示唆していると同社は分析している。このグループが引き続き東南アジア、ヨーロッパ、アフリカの通信、金融、政府機関に対する脅威であると警告している。すべての企業または組織は調査結果を確認するとともに、この脅威グループに対する防御策を展開することが望まれている。
情報元
https://news.mynavi.jp/techplus/article/20230430-2667242/