概要:APT24の高度なサイバースパイ活動が明らかに
Googleの脅威インテリジェンスグループ(GTIG)は、中国を拠点とする脅威アクターAPT24が3年間にわたり展開してきた高度なサイバースパイ活動を公表しました。このキャンペーンは主に台湾の組織を標的とし、新型マルウェアBADAUDIOの展開と、戦略的なウェブ侵害を伴います。
戦術の進化:正規サイトの乗っ取りからサプライチェーン攻撃へ
APT24の活動は2022年11月以降、大きく変化しています。当初は、産業からレジャー用品まで多岐にわたる20以上の正規の公開ウェブサイトを侵害し、悪意のあるJavaScriptペイロードを注入していました。これにより、高度に難読化された第一段階のダウンローダーであるBADAUDIOが配信されていました。
しかし、この日和見的なアプローチは、サプライチェーン攻撃や、特に台湾の組織を狙った標的型フィッシングキャンペーンといった、より洗練された戦術へと進化しています。
BADAUDIOマルウェアの詳細
BADAUDIOマルウェアは、被害者のネットワークへの永続的なアクセスを確立するカスタムC++ダウンローダーとして機能します。実行されると、ハードコードされたコマンド&コントロールサーバーからAES暗号化されたペイロードをダウンロード、復号、実行します。
確認されたケースでは、復号されたペイロードがCobalt Strike Beaconであることが判明しており、これは以前のAPT24の他の作戦でも観察されたユニークなウォーターマークを備えていました。
初期の攻撃手法:ウェブサイトの悪用とフィンガープリンティング
脅威アクターの初期のキャンペーンでは、正規のウェブサイトを悪用し、特定のオペレーティングシステム(macOS、iOS、Android)やブラウザ(Internet Explorer/Edge)を除外し、Windowsシステムのみに焦点を当てていました。
FingerprintJSライブラリを使用して、マルウェアは一意のブラウザフィンガープリントを生成し、攻撃者制御下のドメインに送信して検証を行いました。フィンガープリントの検証が成功すると、正規のソフトウェアアップデートを装った偽のポップアップダイアログが表示され、ユーザーを騙してBADAUDIOマルウェアをダウンロード・実行させていました。
BADAUDIOの実行と回避技術
BADAUDIOは通常、悪意のあるダイナミックリンクライブラリ(DLL)として現れ、DLL検索順序ハイジャックを利用して実行されます。最近のバリアントには、VBS、BAT、LNKファイルを含む暗号化されたアーカイブが含まれており、これらはDLLの配置を自動化し、スタートアップエントリを通じて永続性を確立し、DLLサイドローディングをトリガーして、直接的な痕跡を最小限に抑えています。
サプライチェーン侵害が影響を拡大
2024年7月には、APT24は台湾の地域デジタルマーケティング企業を侵害することで作戦をエスカレートさせました。この壊滅的なサプライチェーン攻撃により、1,000以上のドメインが影響を受けました。この企業は年間を通して複数回再侵害されており、APT24の執拗な攻撃姿勢を示しています。
攻撃者は、広く使用されているJavaScriptライブラリに悪意のあるコードを注入し、タイポスクワッティングドメインを利用して正規のコンテンツデリバリーネットワーク(CDN)になりすましていました。
2025年7月の再侵害:巧妙な隠蔽
2025年7月の再侵害では、攻撃者は悪意を持って改変されたJSONファイル内に高度に難読化されたスクリプトを隠蔽していました。これは、通常コード実行とは関連付けられないファイルタイプにペイロードを隠すという、異例の戦術です。
マルウェアは、正規のjQueryおよびFingerprintJS2ライブラリを動的にロードし、x64hash128ブラウザハッシュを用いた高度なフィンガープリンティングを使用。Base64でエンコードされた偵察データを、隠れたPOSTリクエストを通じて攻撃者エンドポイントに送信していました。
標的型ソーシャルエンジニアリングキャンペーン
ウェブベースの攻撃を補完するように、APT24は動物保護団体を装ったメールなどのソーシャルエンジニアリングを巧みに利用したキャンペーンも実施しました。このグループは、Google DriveやOneDriveを含む正規のクラウドストレージプラットフォームを悪用して、BADAUDIOを含む暗号化されたアーカイブを配布しましたが、Googleはこれらのメッセージをスパムに分類することに成功しました。
ピクセルトラッキングリンクは、メールの開封を確認し、その後の悪用へのターゲットの関心を検証するために使用されました。
業界への影響とGTIGの対策
GTIGは包括的な保護措置を実施しており、特定されたすべてのウェブサイト、ドメイン、ファイルをセーフブラウジングのブロックリストに追加し、主要なブラウザのユーザーを保護しています。GTIGチームは、侵害されたサイトに技術的な詳細を添えて通知を行い、影響を受けた組織がインフラを保護し、将来の感染を防ぐことができるようにしました。
このキャンペーンは、PRC(中華人民共和国)関連の脅威アクターが検出を回避するために、ますますステルス性の高い戦術を採用し続けていることを示しています。制御フロー平坦化という難読化技術の巧妙な使用は、自動および手動のリバースエンジニアリングの両方を著しく困難にしています。
GTIGは、これらの調査結果をセキュリティコミュニティと共有することが、脅威ハンティング能力を向上させ、APT24のような永続的で適応的なスパイ脅威から業界全体のユーザー保護を強化すると強調しています。