中国の攻撃者が欧州の政府機関を狙っている
Check Point Software Technologiesは7月3日(米国時間)、「Chinese Threat Actors Targeting Europe in SmugX Campaign - Check Point Research」において、中国の脅威者が欧州の政府機関を標的としたサイバー攻撃を展開していると伝えた。攻撃者はHTMLスマグリングを実行し、侵害したシステムに遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)であるPlugXを配置していることが明らかとなった。
![](https://image.news.livedoor.com/newsimage/stf/1/5/154ee_1223_b6ea7f27d01b37d5a57b2bd479e9d9a2.jpg)
Chinese Threat Actors Targeting Europe in SmugX Campaign - Check Point Research
「SmugX」と呼ばれる、サイバー攻撃のキャンペーンが特定された。このキャンペーンは中国の持続的標的型攻撃(APT: Advanced Persistent Threat)アクタであるRedDeltaやMustang Pandaの活動と類似しているという。証拠は不十分だが、同じく中国支援の脅威グループであるCamaro Dragonによる欧州の外務機関をターゲットにしたキャンペーンと相関関係にあると分析されている(参考「中国支援の脅威グループ、ルータにマルウェアを感染させてEU機関を攻撃 | TECH+(テックプラス)」)
![](https://image.news.livedoor.com/newsimage/stf/8/e/8eb56_1223_9b8962969d0cd3ddbe5743c1ab549b23.jpg)
SmugX campaign targets and lures. - Check Point Research
![](https://image.news.livedoor.com/newsimage/stf/b/1/b1393_1223_b8f26f90f760e8212e5fa2393672b63c.jpg)
Overview of the PlugX infection chains. - Check Point Research
SmugXキャンペーンでは悪意のあるHTML文書がルアーとして使われ、HTMLスマグリングが実行されている。ルアーのテーマは欧州の内政や外交政策に重点が置かれており、主に東欧の政府省庁をターゲットにしていることが確認されている。
感染チェーンは主に2つあり、どちらも第2段階のペイロードをダウンロードフォルダに保存するHTMLファイルから始まる。1つのチェーンは悪意のあるLNKファイルを含むZIPファイルを使用し、もう1つのチェーンはJavaScriptを利用してリモートサーバから悪意のあるMSIファイルをダウンロードする。どちらの感染チェーンであっても、最終的にPlugXが実行されてしまう。
SmugXキャンペーンで使用された攻撃手法は新規性がなく、ユニークなものではないと判断されている。しかしながら、感染チェーンが多様化したことで検知率が低下し、監視を回避できたと考えられている。また中国の脅威者がヨーロッパに焦点を移していると推測されており、今後の動向が注目されている。
![](https://image.news.livedoor.com/newsimage/stf/1/5/154ee_1223_b6ea7f27d01b37d5a57b2bd479e9d9a2.jpg)
「SmugX」と呼ばれる、サイバー攻撃のキャンペーンが特定された。このキャンペーンは中国の持続的標的型攻撃(APT: Advanced Persistent Threat)アクタであるRedDeltaやMustang Pandaの活動と類似しているという。証拠は不十分だが、同じく中国支援の脅威グループであるCamaro Dragonによる欧州の外務機関をターゲットにしたキャンペーンと相関関係にあると分析されている(参考「中国支援の脅威グループ、ルータにマルウェアを感染させてEU機関を攻撃 | TECH+(テックプラス)」)
![](https://image.news.livedoor.com/newsimage/stf/8/e/8eb56_1223_9b8962969d0cd3ddbe5743c1ab549b23.jpg)
![](https://image.news.livedoor.com/newsimage/stf/b/1/b1393_1223_b8f26f90f760e8212e5fa2393672b63c.jpg)
SmugXキャンペーンでは悪意のあるHTML文書がルアーとして使われ、HTMLスマグリングが実行されている。ルアーのテーマは欧州の内政や外交政策に重点が置かれており、主に東欧の政府省庁をターゲットにしていることが確認されている。
感染チェーンは主に2つあり、どちらも第2段階のペイロードをダウンロードフォルダに保存するHTMLファイルから始まる。1つのチェーンは悪意のあるLNKファイルを含むZIPファイルを使用し、もう1つのチェーンはJavaScriptを利用してリモートサーバから悪意のあるMSIファイルをダウンロードする。どちらの感染チェーンであっても、最終的にPlugXが実行されてしまう。
SmugXキャンペーンで使用された攻撃手法は新規性がなく、ユニークなものではないと判断されている。しかしながら、感染チェーンが多様化したことで検知率が低下し、監視を回避できたと考えられている。また中国の脅威者がヨーロッパに焦点を移していると推測されており、今後の動向が注目されている。