概要
2025年6月から8月にかけて、攻撃者はUSB経由で拡散するマルウェアと複数のRAT(リモートアクセスツール)、ローダー、およびカスタムステーラーを使用して東南アジアの政府組織を標的とした。
攻撃の詳細
アナリストはUSB経由で拡散するマルウェア「USBFect」(HIUPANとも呼ばれる)を最初に観察しました。このマルウェアは、リムーバブルドライブを通じて拡散し、PUBLOADバックドアを使用して横方向への展開を行います。
攻撃の手口
- USBFectとPUBLOAD:
攻撃者はUSBFectをUSBメディアを通じてエンドポイント間で移動させ、ディスク上にコンポーネントを展開しました。USBFectはモジュールをインストールし、新しいリムーバブルまたはホットプラグ可能なドライブの存在を監視します。
- CL-STA-1048クラスタ:
このクラスタでは、EggStremeFuelという軽量TCPバックドアとMasol RATが使用されました。これらのツールはファイル操作やリバースシェルのサポートを提供し、検出を回避するための技術を使用しました。
- CL-STA-1049クラスタ:
HypnosisローダーとFluffyGh0st RATが使用されました。HypnosisローダーはBitdefenderの正当な実行ファイルを介して悪意のあるDLLをサイドロードしました。
対策と推奨事項
Palo Alto Networksでは、これらの攻撃に対する検出とブロックのためのセキュリティサービスを提供しています。組織はUSB使用ポリシーを見直し、DLLサイドローディングの露出やEDRカバレッジを強化することが推奨されます。