セキュリティベンダーのソフォスは、ミャンマーの非政府組織やその他の商業団体に対する最近の一連の攻撃の背後に、高度な持続的脅威(APT)を提供する中国の組織がいると示唆した。
ソフォスが「KilllSomeOne」という魅力的な名前をつけたこの攻撃は、Windows実行ファイルを騙して本物のDLLではなく悪意のあるDLLをロードさせるDLLサイドローディング攻撃です。この悪意あるDLLは、情報窃取を企てます。
ソフォスによると、この戦術は少なくとも2013年から確認されており、当初は中国のAPTグループが利用していたという。しかし、今回の亜種は新たなペイロードを搭載しており、「脅威アクターがサンプルに政治的なメッセージを含んだ、低レベルの英語で書かれた平文の文字列を複数使用していたため、目立っている」という。
セキュリティベンダーは、この攻撃を以前の DLL サイドローディング攻撃とは「異なる展開」であると評価し、このような脅威に対処するために知っておく価値があると述べた。
ミャンマーの少数民族が住む州のインターネット遮断は2年目に突入
続きを読む
ソフォスはさらに、攻撃者が高度なグループに典型的な標的設定や展開戦術を使用していると示唆したが、単純なコード、脆弱な暗号、隠されたメッセージはスクリプトキディの行為を物語っている。
しかし同社は、長年の軍事政権による支配から最近脱却したばかりで、世界第67位もしくは68位の経済大国であるミャンマーの機関を困らせるために、なぜ中国の犯罪組織が攻撃を微調整する手間をかけるのかについては言及しなかった。
考えられる動機の一つは、銀行口座のパスワードや、現金を簡単に手に入れる他の手段を入手したいという、よくある願望です。
もう一つの理由は、中国のAPTグループが国家の支援を受けているという説に賛同するならば、ミャンマーが最近インドから実用潜水艦の寄贈を受けたことに中国が不快感を表明したいと考えているという点だ。中国がミャンマーに接近する理由の一つは、同国がベンガル湾に面していることだ。中国は同海域を通る石油輸送に依存しているため、ミャンマーがこの地域における自国の利益を守ることを困難にするような装備を整備することは、中国にとって喜ばしいことではないだろう。
しかし、ミャンマーは最近、香港における中国の法的取り決めの変更を支持し、より緊密な経済関係を築いており、政府以外を標的とした、原因が特定できないサイバー攻撃は、微妙なメッセージを送る手段なのかもしれない。®
