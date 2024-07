Symantecは7月23日(米国時間)、「Daggerfly: Espionage Group Makes Major Update to Toolset|Symantec Enterprise Blogs」において、中国の国家支援を受けているとみられる持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「Daggerfly(別名:Evasive Panda)」が攻撃ツールを更新したとして、注意を喚起した。新しい攻撃ツールは台湾の組織、中国に拠点を置く米国の非政府組織(NGO: Non-Governmental Organization)に対する攻撃に使用されたとみられている。

Daggerfly: Espionage Group Makes Major Update to Toolset|Symantec Enterprise Blogs○新しい攻撃ツールの概要Symantecが確認した新しい攻撃ツールは、macOSのバックドア「Macma」の亜種およびWindowsのバックドア「Nightdoor(別名:NetMM、Trojan.Suzafk)」の亜種とされる。いずれも同じ共有ライブラリを使用して開発されており、開発者の同一性を示している。macOSのバックドア「Macma」は2021年にGoogleによって初めて文書化された。2019年から存在が確認されており、当初は水飲み場型攻撃に使用された。主な機能としては、以下が挙げられている。デバイス識別子の窃取コマンドの実行画面のキャプチャキーロガーオーディオキャプチャファイルのアップロードおよびダウンロードSymantecによると、新たに発見されたMacmaには、上記に加え次の機能追加および機能改善が行われているという。treeコマンドと同様の方式によるファイル一覧の窃取オーディオキャプチャ機能の修正追加のパラメータ追加のデバッグログ画面キャプチャーのサイズおよびアスペクト比を調整する新しいファイルの追加Windowsのバックドア「Nightdoor」は2024年3月にESETによって初めて文書化された。OneDriveをコマンド&コントロール(C2: Command and Control)サーバとして使用できる多段階のバックドアとされる。主な機能としては、cmd.exeシェルの作成、ipconfig、systeminfo、tasklist、netstatの実行機能があるとされる。○対策Daggerflyは主要なオペレーティングシステムを標的にした攻撃ツールを開発する能力を持つとみられている。SymantecはmacOS、Windowsの他にもAndroid、Solarisを標的にしたマルウェアを確認したとしている。Symantecは、調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。