概要
中国を拠点とする高度な脅威アクターであるMustang Pandaが、チベット人コミュニティを標的としたサイバースパイ活動において、高度なDLLサイドローディング技術を導入し、その攻撃手法を洗練させていることが明らかになりました。このキャンペーンは2025年6月にIBMのX-Forceによって初めて特定され、脅威アクターがいかにしてセキュリティ制御を回避し、侵害されたシステム上での永続性を維持するために難読化手法を継続的に進化させているかを示しています。
攻撃ベクトルと巧妙な隠蔽
攻撃は、一見無害に見える「Voice for the Voiceless Photos.exe」という実行ファイルを含む巧妙に作成された.ZIPファイルから始まります。これはダライ・ラマの著書を意図的に参照しており、標的となる層にアピールするように設計されています。しかし、このアーカイブには、標準的なファイルエクスプローラーではユーザーから見えない隠されたDLLファイル「libjyy.dll」が隠されています。
悪意のあるDLLは、Windowsのファイル属性を悪用してステルス性を維持します。具体的には、以下の属性の組み合わせが使用されます。
- a (Archive): バックアップ用にマークされたファイル。
- r (Read-only): 変更を防止。
- h (Hidden): Windows Explorerからファイルを隠蔽。
- s (System File): 「保護されたオペレーティングシステムファイルを表示しない」が有効になっている場合でも、ファイルをさらに隠蔽。
この洗練された隠蔽技術により、ユーザーが「フォルダーオプション」で「保護されたオペレーティングシステムファイルを表示しない」のチェックを外さない限り、DLLは検出されないままになります。これは一般的なユーザーがめったに行わない操作です。
中国関連の兆候
主要な実行ファイルの技術分析により、中国関連の脅威作戦に共通する特徴的な署名が明らかになりました。バイナリには、「Hefei Nora Network Technology Co., Ltd.」という会社名と著作権者、および「FFWallpaper Widgets Jyy」という製品名を含む偽造された会社情報が含まれています。調査によると、この名前で合法的な会社は存在せず、同様の偽造されたエンティティが以前の中国関連キャンペーンでも確認されています。
この実行ファイルは、LoadLibraryW APIを介して隠蔽されたDLLを動的にロードし、特にProcessMain関数を呼び出すローダーとして機能します。この最小限のアプローチにより、攻撃対象領域が減少し、主要な悪意のある機能が隠されたDLLコンポーネント内に分離されたままになります。
Claimloaderの機能と難読化
隠された「libjyy.dll」は、疑いを避けるために「Wargaming.net Game Center」を装っており、はるかに洗練された機能を備えています。分析により、このコンポーネントがClaimloaderとして機能することが判明しました。Claimloaderは、文字列の復号、引数の検証、永続性の確立、ペイロードの展開など、いくつかの重要な機能を実装する多段階マルウェアです。
マルウェアは、API呼び出しと文字列を難読化するために、単一バイトキー「0x19」を使用した単純なXOR暗号化アルゴリズムを採用しています。この技術により、静的分析による検出を回避しながら、重要なWindows APIを動的にロードできます。Claimloaderは、実行中に特に「Licensing」引数をチェックし、このパラメーターの有無に応じて異なるコードパスをたどります。
永続化メカニズム
適切な引数なしで実行されると、マルウェアは感染したシステム上で二重の永続化メカニズムを確立します。
- まず、デコイ実行ファイルと悪意のあるDLLの両方を、偽造されたAdobeディレクトリ「C:\ProgramData\AdobeLicensingPlugin」にコピーし、それぞれ「WF_Adobe_licensing_helper.exe」と「NewUI.dll」に名前を変更します。
- 次に、マルウェアは「Software\Microsoft\Windows\CurrentVersion\Run」レジストリキーを介してレジストリ永続性を確立し、システム再起動時に適切な「Licensing」引数で実行されるようにします。
レジストリベースの永続性に加えて、マルウェアはWindowsタスクスケジューラを使用して二次的なメカニズムを実装しています。Claimloaderは、復号化してコマンドを実行し、「AdobeExperienceManager」という名前のスケジュールされたタスクを作成します。このタスクは2分ごとに実行されます。
schtasks /F /Create /TN "AdobeExperienceManager" /SC minute /MO 2 /TR "C:\ProgramData\AdobeLicensingPlugin\WF_Adobe_licensing_helper.exe Licensing"
この冗長な永続化アプローチは、インシデント対応の取り組みを複雑にし、一方の永続化メカニズムが発見されて削除された場合でも、アクセスを維持できる可能性を高めます。
ペイロードの展開とPubloader
正しい引数で実行されると、Claimloaderは主要なペイロード展開フェーズに移行します。マルウェアは、VirtualAllocを使用してPAGE_EXECUTE_READWRITE権限で実行可能なメモリを割り当て、復号化されたシェルコードをこのバッファにコピーします。シェルコードを直接実行するのではなく、マルウェアはEnumFontsW APIコールバックメカニズムを悪用し、シェルコードアドレスをコールバック関数ポインタとして渡します。この技術は、多くのセキュリティ監視ソリューションを回避します。
展開されたシェルコードはPubloaderとして識別され、必要なWindows APIを動的に解決するためにROR13アルゴリズムを使用したAPIハッシュを実装しています。このコンポーネントは、プロセス環境ブロック(PEB)ウォークを実行して必要なモジュールを特定してロードし、最終的にコマンド&コントロールインフラストラクチャとの通信を確立してシステム情報を外部に送信します。
セキュリティ対策
このキャンペーンは、Mustang Pandaがチベットの利益に特化したソーシャルエンジニアリング要素と高度な技術的難読化技術を組み合わせることで、標的型攻撃手法を継続的に進化させていることを示しています。セキュリティチームは、同様のキャンペーンを効果的に検出するために、異常なDLLローディングパターン、スケジュールされたタスクの作成、および疑わしいレジストリ変更に対する包括的な監視を実装する必要があります。