中国の脅威アクターがISPを侵害したマルウェア配布キャンペーンを展開中：セキュリティニュースアラート

Volexityは中国の脅威アクターがISPを侵害し、DNSポイズニング攻撃を利用してHTTP経由でマルウェアを配布していると報告した。

[後藤大地，有限会社オングス]

　Volexityは2024年8月2日（現地時間）、StormBambooと呼ばれる中国の脅威グループがインターネットサービスプロバイダー（ISP）を侵害してDNSポイズニング攻撃を展開していると伝えた。ISPのDNSリクエストを改ざんしてHTTP経由の自動更新メカニズムを悪用し、マルウェアを配布していることが判明している。

ISPを標的にDNSポイズニング攻撃、自動更新メカニズムでマルウェアを配布

　中国のサイバー犯罪者グループが「Windows」と「macOS」デバイスにマルウェアのペイロードを展開するためにISPを標的にキャンペーンを展開していることが分かった。StormBamboo（別名：Daggerfly、Evasive Panda）は中国の国家支援を受けているとされる持続的標的型攻撃（APT）グループだ。WindowsやmacOSなどの主要なOSを標的にした攻撃ツールを開発する能力を有し、さまざまなキャンペーンを展開することで知られている。

　この攻撃ではセキュリティが不十分な自動更新メカニズムが悪用され、ユーザーの操作を必要とせずにマルウェアを配布する手法が用いられている。具体的には正規のアプリケーションがHTTPリクエストを実行して更新ファイルを取得する際に、攻撃者がDNS応答を制御して悪意のあるインストーラーを配布するというものだ。複数のソフトウェアベンダーが標的にされていることも確認されている。

　例えば5KPlayerはアプリケーション起動時に自動で「YoutubeDL」の新しいバージョンを確認する機能を持っている。StormBambooはこの更新メカニズムを悪用しマルウェアを含む更新ファイルを配布したとされている。YoutubeDLソフトウェアがバックドア化され、次の段階としてMACMA（macOS）やPOCOSTICK（Windows）といったマルウェアを含んだファイルをダウンロードする仕組みを構築していたことが明らかにされている。