中国語を使用するハッカー集団「MirrorFace」は7月の参議院選挙直前から、日本の政党および党員を標的にして活動していたことが、12月16日発表のセキュリティ企業ESETの報告によって明らかになった。
MirrorFaceは、日本国内の外交機関、学術機関、防衛産業、メディア企業、シンクタンクを標的としていることで知られている。中国人ハッカー集団APT10との関連も指摘されているが、今回の調査では既存集団との関係を特定できず、新たな脅威のアクターとした。
ESETによると、MirrorFaceは特定政党広報部を装い、スピアフィッシング・メールを党員向けに送付していた。選挙公報用の動画を各自のSNSで配信するよう呼びかける内容だ。
動画ファイルの題名は「皆さんの暮らしを守り抜く責任」「決断と実行。暮らしを守る。」であり、参院選の自民党の標語と重なる。また拡散先のリンク名も「党参院選特設サイトの『SNSで選挙に参加しよう』」とこれも同名の自民党公式サイトで使用されていることから、自民党をターゲットにしていることがうかがえる。
動画ファイルを展開すると、MirrorFaceが主力としているバックドア「LodeInfo」に感染する。認証情報のほか、文書やメールを盗み出していたという。ハッカー集団はバックドアを通じて、スクリーンショットの撮影、キー入力、プロセスの強制終了、ファイルの抽出などを実行することが可能になる。
ESETによると、フィッシングメールの添付ファイルを実行すると侵入先のマシンにLODEINFOがデプロイされ、LODEINFOがシステムに「MirrorStealer」という新たなマルウェアを展開するとのこと。MirrorStealerは今回新たに報告された資格情報スティーラーであり、ウェブブラウザや電子メールクライアントなど、さまざまなアプリケーションから資格情報を盗み取るものという。
注目に値するのが、MirrorStealerが対象にした電子メールクライアントの中に、主に日本で利用されている電子メールクライアントである「Becky!」が含まれているという点で、さらに、MirrorFaceが盗み出したファイルの中には、拡張子が「.jtd」のものも含まれていたという。この拡張子は日本語ワードプロセッサ「一太郎」のドキュメントを指しており、これらの点からMirrorFaceが日本のターゲットに特化していると推測されている。
ESETの調査員ドミニク・ブライテンバッチャー氏は「調査中に、被害者から貴重なデータを収集・流出させるための追加のマルウェアやツールの展開・利用など、さらなるMirrorFaceの戦術、技術、手順を明らかにすることができた」と述べた。
一方で、侵入の痕跡を残すなどのエラーも見受けられたという。いくつかのLODEINFOコマンドにタイプミスも見られることから、攻撃が手動または半手動で行われたことが示唆されている。
報告書は、MirrorFaceは日本国内の重要なターゲットを狙い続けているとして、注意を呼びかけている。
【引用記事】
・大紀元 https://www.epochtimes.jp/2022/12/128931.html
・livedoor https://news.livedoor.com/article/detail/23388607/
