RedDeltaとは
RedDelta(別名:BASIN、Bronze President、Camaro Dragon、Earth Preta、HoneyMyte、Mustang Panda、Red Lich、Stately Taurus、TA416、Twill Typhoon)は、少なくとも2012年から活動していると言われています。このグループは、感染の各フェーズの手法を継続的に洗練させていることで悪名高く、カスタマイズされたPlugXバックドアを使用しています。
RedDeltaは、政府機関、法執行機関、非政府組織(NGO)、バチカンおよびカトリック教会関連の組織などを標的にしており、活動標的はマレーシア、日本、アメリカ、エチオピア、ブラジル、オーストラリア、インド、モンゴル、台湾、ミャンマー、ベトナム、カンボジアなど、複数の国にわたっています。
RedDeltaは、政治的または文化的なイベントをテーマにしたLNKファイルを含む巧妙に作成されたスピアフィッシングメールを使って初期アクセスを獲得します。さらに、一部のメールにはMicrosoft Azure上にホストされたHTMLファイルへのリンクが含まれており、クリックすると追加のファイルがダウンロードされます。
受信者が悪意のあるファイルを開くか、フィッシングリンクをクリックすると、MSC形式のペイロードがダウンロードされます。このMSCファイルはMSIインストーラーを展開し、DLLサイドローディング技術を使って、正規だが脆弱な実行ファイルを利用し、PlugXバックドアをシステムに読み込ませます。感染したシステムは、Cloudflareのコンテンツ配信ネットワーク(CDN)を通じてRedDeltaのC2(コマンド&コントロール)サーバーと通信を開始し、正規のCDNトラフィックに紛れて検出を回避します。
PlugXバックドアは、被害者のシステム上で永続性を確立し、再起動後も動作を継続します。RedDeltaは感染システムを遠隔操作して機密データを外部に送信しながら、長期間にわたって標的ネットワークへのアクセスを維持します。
RedDeltaの感染の各フェーズの柔軟な手法は、サイバースパイ活動における重大な脅威であり、組織や政府には継続的な警戒と積極的な防御策が求められます。
推奨される対策
- IoC(侵害の痕跡)を監視し、異常を早期に検知する。
- Windows環境を最新の状態に保ち、 多要素認証(MFA)を導入する。
- 包括的な脅威評価を実施し、見落としや改善点を洗い出す。
※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。
本稿は、KPMGインドが発行している「Threat Intelligence Advisories」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。
