国連を装いウイグル族にサイバー攻撃--中国のハッカー集団か

　国際連合（UN）の名称が、ウイグル族に対するスパイ活動に悪用されているという。

　Check Point Research（CPR）とKasperskyのGReATチームは米国時間5月27日、中国新疆の少数民族ツルキ語族などを標的としたこの活動について追跡していると報告した。攻撃は、中国語を話す脅威アクターの仕業である可能性があるとしている。

　標的には、国連人権理事会（UNHRC）のロゴが入ったフィッシング文書「UgyhurApplicationList.docx」が送付される。この文書には、人権侵害に関して議論する総会の内容とみせかけた罠が含まれている。

国連人権理事会（UNHRC）のロゴが入ったフィッシング文書

　受信者がこのファイルを開いて編集を有効にすると、悪意のある外部テンプレートがダウンロードされる。このテンプレートには、VBAマクロコードが組み込まれている。これがPCのアーキテクチャーをチェックし、32ビットまたは64ビットのペイロードをデコードする。

　デコードされればOfficeUpdate.exeと名付けられる。このファイルは、リモートペイロードを取得して読み込むシェルコードだが、解析の時点でそのIPは使用不能だったという。しかし、その悪質な文書ファイルに関連するドメインからさらに調査を進めると、偽の人権団体になりすました組織がマルウェアの配布に利用する悪質なウェブサイトが検出された。

　「Turkic Culture and Heritage Foundation」（TCAHF）のウェブサイトをホストするドメイン名などが明らかになった。TCAHFは、「ツルキ語族の文化と人権」のために活動する団体を支援する組織とされているが、実際には偽の組織であり、ウェブサイトの内容はopensocietyfoundations.orgという合法的な人権団体からコピーされたものだという。

　助成金を求めるウイグル族を標的としたこのウェブサイトは、助成金申請に必要な情報を入力する前に「セキュリティスキャナー」をダウンロードすることを、訪問者に促す。しかし、このソフトウェアは実際にはバックドアだ。

　ウェブサイトには「macOS」版と「Windows」版が掲載されているが、調査時点ではWindows版のみがダウンロード可能だったという。

　この偽ウェブサイトでは、2020年に少なくとも2種類のバックドアを提供していた。2020年5月に利用されたWebAssistantと、10月に利用されたTcahfUpdateだ。これらのバックドアは、標的のシステムに永続的に存在し、サイバー諜報活動を実行してデータを盗み、さらなるペイロードの実行に利用される可能性もある。

　被害者は、中国とパキスタンの中で、ウイグル族が人口の大半を占める地域の人々だ。

　CPRとKasperksyは攻撃者について、既知のハッカー集団とのコードやインフラの類似性は確認できていないが、複数の中国語フォーラムで見つかったコードを利用していることから、中国語を話す組織である可能性が高いとしている。また、まだ活動は続いており、2021年に新しいドメインが、過去の攻撃に関連付けられたIPアドレスに登録されているという。

　「どちらのドメインも、『Terengganu Islamic Foundation』というマレーシア政府機関のウェブサイトにリダイレクトしている。これは攻撃者らが、マレーシアやトルコなどの国でさらなる攻撃を仕掛けようとしていることをうかがわせるが、これらのドメインに関連付けられた悪質な影響をわれわれはまだ検出していないため、これらのリソースはまだ開発中なのかもしれない」（両社）