Mustang Panda―高度なツールを駆使した持続的なスパイ活動

Mustang Panda（別名：Bronze President、TA416、RedDeltaなど）は、APT（高度持続的脅威）グループで、2012年から活動しています。このグループはサイバースパイ活動を専門としており、アメリカ、ヨーロッパ、ミャンマー、モンゴル、パキスタン、ベトナムなどの世界各地の政府機関、軍事組織、NGO、防衛・外交・人権にかかわる企業を標的としています。

Mustang Pandaはマルウェアの武器庫を強化しており、ToneShellの変種、横展開用のStarProxy、キーロガーのPAKLOGとCorKLOG、EDR回避ツールのSplatCloakなどを導入し、スパイ活動の能力を高めています。

Mustang Pandaは、スピアフィッシングメールや脆弱性を悪用した文書を使って侵入します。DLLサイドローディングを利用して悪意のあるDLLを読み込み、これがPAKLOG、CorKLOG、ToneShell、StarProxyなどの追加ペイロードのローダーとして機能します。PAKLOGとCorKLOGはキーロガーで、キーストロークやクリップボードのデータを記録します。CorKLOGはさらに、暗号化されたログ記録と永続性の機能を備えています。

これらのツールにはC2（コマンド＆コントロール）機能が組み込まれていないため、攻撃者はToneShellのようなツールを使って手動でログデータを取得します。ToneShellは長年使われているバックドアで、現在は第3世代となっており、リモートシェルアクセス、コマンド実行、ファイルの準備などが可能です。FakeTLSを使ってC2通信を正規のHTTPS通信に偽装します。

StarProxyもFakeTLSに対応しており、侵害されたホストを経由して分離されたシステムやセグメント化されたネットワークへの横展開を可能にします。ステルス性を高めるために、Mustang PandaはSplatCloakというカーネルモードのドライバを利用し、セキュリティソフトのコールバックを無効化します。SplatCloakはSplatDropperによってインストールされ、実行後に自動的に削除されて痕跡を消します。データの持ち出し（エクスフィルトレーション）は手動で行われ、作戦の制御を維持し、検出のリスクを最小限に抑えています。

Mustang Pandaの戦術は進化を続けており、継続的なアップデート、新しいツール、高度な難読化技術の導入などが、強固なサイバーセキュリティ戦略の必要性を浮き彫りにしています。

• 環境内のIoC（侵害の痕跡）を監視し、異常を特定する。
• Windows環境を最新の状態に保ち、多要素認証（MFA）を導入する。
• 見落としや改善点を明らかにするため、包括的かつ全方位的な脅威評価を実施する。

※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。

本稿は、KPMGインドが発行している「Threat Intelligence Advisories 」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。

• Qilinランサムウェア―高度な回避技術を用いたクロスプラットフォーム攻撃（5/13）
• SideCopy APT―複数プラットフォームへの侵入を悪用（5/20）
• BPFDoorマルウェア―BPFを悪用する隠密なLinuxバックドア（5/27）