Cisco Talos Intelligence Groupはこのほど、「SneakyChef espionage group targets government agencies with SugarGh0st and more infection techniques」において、中国に関係するとみられる脅威アクター「SneakyChef」による進行中のサイバー攻撃のキャンペーンを発見したと伝えた。このキャンペーンではヨーロッパ、中東、アフリカ地域(EMEA: Europe, the Middle East and Africa)およびアジア地域の政府機関を標的にスパイ活動を行うという。

SneakyChef espionage group targets government agencies with SugarGh0st and more infection techniques

○進行中のサイバー攻撃のキャンペーンの概要

Cisco Talosはこのサイバー攻撃のキャンペーンを2023年8月に発見したという。過去のキャンペーンでは韓国およびウズベキスタンを主な標的にしていたが、今回のキャンペーンでは標的をヨーロッパからアジア地域まで拡大したことが確認されたとのことだ。

標的の拡大はキャンペーンの調査中に入手した複数の「おとり文章」から推定されている。おとり文書は非公開の各国政府機関に関連する文章とされ、その国の政府機関(主に外務省)を標的にした攻撃に用いられたとみられている。Cisco Talosはその文章の内容から、少なくともアンゴラ、インド、カザフスタン、サウジアラビア、トルクメニスタン、ラトビアが標的になったと指摘している。

おとり文章から推定された標的の国および組織  引用:Cisco Talos

○侵害経路

Cisco Talosによると、今回のキャンペーンではフィッシングメールが初期の攻撃に使用されたという。フィッシングメールには自己解凍アーカイブ(SFX: Self-Extracting Archive)形式のファイルが添付されており、このファイルにマルウェアが含まれるという。

被害者がメールに添付されたアーカイブファイルを実行すると、おとり文章、マルウェアローダー、暗号化されたSugarGh0st、悪意のあるVBスクリプトが展開され、その直後、悪意のあるVBスクリプトが自動的に実行される。

新しいキャンペーンにおける侵害経路 引用:Cisco Talos

VBスクリプトはDLL(Dynamic Link Library)形式のマルウェアローダーをレジストリの「UserInitMprLogonScript」に登録し、同時におとり文章を表示する。この時点ではマルウェアは展開されない。

ユーザーが一度ログアウトし、ログインし直すとUserInitMprLogonScriptで指定されたコマンドが実行され、最終的にマルウェアに感染する。この仕組みはマルウェアの感染タイミングを遅らせることで侵害経路を隠蔽すると同時に、永続性を確保する目的があるとみられる。

○対策

Cisco Talosは、SneakyChefによるサイバー攻撃を回避するため、リアルタイム検出機能を持つセキュリティソリューションの導入を推奨している。また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「IOCs/2024/06 at main · Cisco-Talos/IOCs · GitHub」にて公開しており、必要に応じて活用することが望まれている。