ウイグル人を監視するためのキャンペーンに、国連のブランドが悪用されている。
By Charlie Osborne for Zero Day | May 27, 2021 -- 10:00 GMT (18:00 SGT) | Topic: セキュリティ
ウイグル人をスパイすることを目的としたキャンペーンで、国連(UN)のブランドが悪用されています。
チェック・ポイント・リサーチ社(CPR)とカスペルスキー社のGReATチームは1日、このキャンペーンは中国語を話す脅威アクターの仕業である可能性が高く、中国の新疆ウイグル自治区で見られるトルコ系少数民族のウイグル人に焦点を当てていると発表しました。
国連人権理事会(UNHRC)のロゴが入ったフィッシング文書が送られてきます。UgyhurApplicationList.docxと名付けられたこの文書には、人権侵害に関する議論に関連するおとりの資料が含まれています。
しかし、被害者がファイルを開く際に編集機能を有効にすると、VBAマクロコードがPCのアーキテクチャをチェックし、32ペイロードまたは64ペイロードのいずれかをダウンロードします。
「OfficeUpdate.exe」と名付けられたこのファイルは、リモートのペイロードをフェッチしてロードするシェルコードですが、解析時点ではそのIPは使用できませんでした。しかし、悪意のあるメールの添付ファイルにリンクされていたドメインから、さらに調査が拡大し、偽の人権団体を装ってマルウェアの配信に利用されている悪意のあるWebサイトが判明しました。
「Turkic Culture and Heritage Foundation」(TCAHF)のドメインは、「Tukric culture and human rights」のために活動していると主張していますが、このコピーは、合法的な市民権団体であるopensocietyfoundations.orgから盗まれたものです。
このサイトは、資金援助を求めるウイグル人を対象としており、助成金申請に必要な情報を提出する前に「セキュリティスキャナー」をダウンロードさせようと誘います。しかし、このソフトは実はバックドアなのです。
macOS版とWindows版が提供されていた。
このウェブサイトでは、macOS版とWindows版が提供されていましたが、マルウェアをダウンロードしたのは後者へのリンクだけでした。
バックドアには、2020年5月に提供された「WebAssistant」と、10月から搭載された「TcahfUpdate」の2つのバージョンが発見されました。このバックドアは、被害者のシステム上で持続性を確立し、サイバースパイやデータ窃盗を行い、さらにペイロードを実行するために使用される可能性があります。
被害者は、中国やパキスタンのウイグル人が多く住む地域で発見されています。
CPR社とKasperksy社によると、このグループは他の既知の脅威グループとインフラを共有していないようですが、中国語を話す可能性が高く、過去の攻撃に関連する同じIPアドレスに今年新たなドメインが登録されるなど、現在も活動を続けているようです。
"いずれのドメインも、「Terengganu Islamic Foundation」というマレーシアの政府機関のウェブサイトにリダイレクトされています。"このことから、攻撃者はマレーシアやトルコなどの国で追加のターゲットを追っていることがわかります。ただし、これらのドメインに関連する悪意のある人工物はまだ確認されていないため、それらのリソースをまだ開発中である可能性もあります。"
過去と関連する報道
・中国の少数民族であるウイグル人のスパイ活動に利用されている新しいiOSの脆弱性が発見される
・米国、ウイグル人の人権侵害で中国企業11社をさらに実体リストに追加
・ウイグル人の強制労働に関する訴えに大手企業が反論
www.DeepL.com/Translator(無料版)で翻訳しました。