概要:日本の海運・輸送企業が標的に
LACのサイバー緊急センターは、日本の海運および輸送企業を狙った高度なサイバー諜報活動を特定しました。2025年4月に中国を拠点とする脅威アクターによって実行されたこの作戦では、Ivanti Connect Secure (ICS) の重大な脆弱性が悪用され、悪名高いPlugXマルウェアファミリーの新種である「MetaRAT」が展開されました。このキャンペーンは、中国国家と関連する脅威アクター(Space PiratesやCalypsoなど)の進化し続ける脅威を示しています。
攻撃の手口
攻撃者は、Ivanti Connect Secureの2つの深刻な脆弱性、CVE-2024-21893(サーバーサイドリクエストフォージェリ)とCVE-2024-21887(コマンドインジェクション)を悪用してアクセス権を獲得しました。MetaRATの文字列は、TEA暗号またはSUB+XOR+ADDによって難読化されていました。
侵害されたシステムのフォレンジック分析により、重大なエラーログ(コード「ERR31093」)の急増と、Mandiantが以前特定した攻撃と一致する不審なファイルの作成が明らかになりました。ネットワーク内部に侵入後、攻撃者は侵害したActive Directoryの認証情報を利用してラテラルムーブメント(横方向の移動)を行い、持続性を維持しデータを窃取するために、MetaRATとTalismanという2つの異なるマルウェアを展開しました。
進化するMetaRATの特徴
PlugXは2008年以来、中国のサイバー諜報活動の主要なツールでしたが、MetaRATは大幅な進化を遂げています。LACの研究者はその起源を2022年に遡っていますが、2025年のキャンペーンでは検出を回避するように改良されたバージョンが使用されました。MetaRATは、正当なアプリケーションが意図せずに悪意のあるDLL(mytilus3.dll)をロードするDLLサイドローディングを介して動作します。このローダーはシェルコードペイロード(materoll)を復号し、その後マルウェアをメモリに注入します。
MetaRATを従来のPlugXバリアントと区別する主な特徴は以下の通りです:
- カスタム暗号化:設定および通信データにAES-256-ECB暗号化とGzip圧縮を使用しています。
- 独自のC2プロトコル:複数の通信プロトコル(TCP、UDP、HTTP、HTTPS、ICMP)をサポートし、正規のトラフィックに紛れ込むためにHTTPトラフィックで独自の「クッキー」ヘッダーを利用します。
- 拡張された機能:キーロギングやポートマッピングなどの高度なプラグインが含まれており、攻撃者が被害者ネットワークのさらに奥深くまで侵入することを可能にします。
Talismanとの関連性
MetaRATと並行して、攻撃者はTalismanも展開しました。Talismanは、RedFoxtrotやMustang Pandaといったグループと以前から関連付けられている別のPlugXバリアントです。両マルウェアの同時使用、およびローダーに見られる共通のコード構造とデバッグパスは、統一された作戦であることを強く示唆しています。Talismanのサンプルには、セキュリティスキャナーの回避を目的としたとみられる、ヘッダー内の「Magic Values」の変更が確認されています。
推奨事項とIOC
このキャンペーンは、企業がIvanti Connect Secureのようなエッジデバイスに直ちにパッチを適用することの重要性を強調しています。攻撃者が既存のツールを改変する能力は、従来のアンチウイルスシグネチャを迂回することを可能にします。
セキュリティチームは、以下の特定の侵害の痕跡(IOCs)を監視することが推奨されます:
- レジストリキー:「matesile」という名前の自動起動キー。
- ファイル:mytilus3.dll、materoll、VniFile.hlpなどの疑わしいファイル。
- ネットワークトラフィック:「Cookie-Yaga」または「Cookie-Nguy」ヘッダーを含むHTTPリクエスト。
LACの調査結果は、Virus Bulletin Conference 2025およびThreat Analyst Summit 2025で発表され、ツールが進化しても、重要インフラに対する戦略的な標的化は変わらない脅威であることを警告しています。