はじめに
中国のサイバースパイ集団であるMustang Pandaが、使用するCoolClientバックドアを更新し、ブラウザのログイン情報を窃取したり、クリップボードを監視したりするなど、新たな情報窃取機能を展開していることがKasperskyの研究者によって明らかになりました。今回のアップデートでは、これまで確認されていなかったルートキットの展開能力も備わっており、その技術的な分析は今後のレポートで公開される予定です。
CoolClientの進化と新たな脅威
CoolClientは2022年以来、Mustang Pandaに関連付けられており、PlugXやLuminousMothといった他のバックドアと並行してセカンダリバックドアとして利用されてきました。最新版のCoolClientの最も注目すべき新機能は以下の通りです。
- ブラウザからのログイン情報窃取:Chrome、Edge、およびその他のChromiumベースのブラウザからログインデータを収集する複数の異なる亜種が確認されています。
- クリップボード監視モジュール:ユーザーのクリップボードの内容を監視し、機密情報を窃取します。
- アクティブウィンドウのタイトル追跡:現在アクティブなウィンドウのタイトルを追跡し、ユーザーの活動に関する情報を収集します。
- HTTPプロキシ認証情報スニッフィング:生パケット検査とヘッダー抽出を通じて、HTTPプロキシの認証情報を不正に入手します。
- プラグインエコシステムの拡張:専用のリモートシェルプラグイン、サービス管理プラグイン、より高度なファイル管理プラグインが追加され、攻撃者の制御能力が大幅に向上しています。
標的と感染経路
この更新されたマルウェアは、ミャンマー、モンゴル、マレーシア、ロシア、パキスタンの政府機関を標的にした攻撃で確認されています。今回の攻撃では、中国のサイバーセキュリティ、クラウドコンピューティング、ITインフラ製品を専門とする企業であるSangfor製の正規ソフトウェアが悪用され、マルウェアが展開されました。過去には、Bitdefender、VLC Media Player、Ulead PhotoImpactなどの署名付きバイナリを悪用したDLLサイドローディングを通じてCoolClientが展開されていました。
CoolClientの機能詳細
CoolClientバックドアは、感染したシステムとユーザーに関する詳細な情報を収集します。これには、コンピューター名、オペレーティングシステムのバージョン、RAM情報、ネットワーク情報、ロードされているドライバーモジュールの説明とバージョンなどが含まれます。マルウェアは暗号化された.DATファイルを多段階実行に利用し、レジストリの変更、新しいWindowsサービスの追加、およびスケジュールされたタスクを通じて永続化を確立します。また、UACバイパスや権限昇格もサポートしています。
新機能として、リモートシェル機能は隠されたcmd.exeプロセスを生成し、その標準入出力をパイプを通じてコマンド&コントロール(C2)チャネルにリダイレクトすることで、対話型のコマンド実行を可能にします。サービス管理プラグインにより、攻撃者はWindowsサービスを列挙、作成、開始、停止、削除、および起動設定の変更を行うことができます。ファイル管理プラグインは、ドライブの列挙、ファイル検索、ZIP圧縮、ネットワークドライブのマッピング、ファイル実行など、拡張されたファイル操作機能を提供します。
ブラウザ情報窃取とデータ流出の手口
CoolClientの運用におけるもう一つの新たな特徴は、ブラウザからログインデータを収集するために情報窃取マルウェアを展開することです。データ流出においては、検知を回避するためにGoogle DriveやPixeldrainのような正規の公共サービスに対してハードコードされたAPIトークンが悪用されています。
Mustang Pandaの継続的な活動
Mustang Pandaは、そのツールセットと運用の特性を継続的に進化させています。昨年12月には、Kasperskyが政府システムにToneShellバックドアの亜種を展開する新しいカーネルモードローダーについて報告しました。また、今年1月には、台湾の国家安全局がMustang Pandaを、その重要インフラを標的とする最も多産で大規模な脅威の一つとしてランク付けしています。これらの動きは、Mustang Pandaが引き続き活発であり、その攻撃能力を高め続けていることを示しています。