チェック・ポイント・ソフトウェア・テクノロジーズ(本部・テルアビブ)の脅威インテリジェンス調査部門であるチェック・ポイント・リサーチは、過去1年間にわたりロシアのサイバーセキュリティ企業、カスペルスキーのGReAT(Global Research &Analysis Team)とともに中国の新疆ウイグル自治区とパキスタンのウイグル人にかかるサイバー攻撃を追跡しているという。このほど明らかにされたレポートによると、攻撃には国連を装った文書が使用されていたり、ウイグル人を支援する架空の団体サイトが使われていた実態があるようだ。
チェック・ポイント・リサーチが明らかにした2020年3月10日の日付けが入った文書は国連のロゴが記されて国連がリリースした文書のように見える。人権委員会のアジェンダとしていつくかの項目が記され、人種差別や外国人排斥に対する課題等も記されている。チェック・ポイント・リサーチのレポートによると、ネット上にあるこの文書の「編集を有効にする」をクリックすると、悪意のあるテンプレートがダウンロードされてドキュメントに埋め込まれたマルウェアがコンピューターに保存され、マルウェアは外部と通信を行っていたようだ。
また、この文書のドメインと同じIPアドレスのドメインがあり、このドメインは国連人権高等弁務官事務所になりすましていたドメインだという。このドメインの重複は2020年4月から同12月まで続いていたという。さらにトルコの文化と人権のために活動するグループに資金を提供して支援をしている民間組織のTACHF(Turkic Culture and Heritage Foundation)を装ったウェブサイトがあるようだ。この偽装サイトのコンテンツはオープン・ソサエティ財団のコンテンツをコピーしたもののようだ。そして、この偽装サイトから助成金の申請を行おうとするとマルウェアに感染し、被害者のコンピューターのデータが収集され送信されて情報収集活動が行われるようだ。国連のロゴ入りの偽装文書によって感染したケースでも同様の情報収集活動が行われていたとみられる。
チェック・ポイント・リサーチのレポートによると、この脅威と既知の脅威グループとの類似性は見つかっておらず新たな脅威グループによる攻撃の可能性があるという。また、配信ドキュメント内の悪意のあるマクロを調べたところ、コードの一部の抜粋が複数の中国のフォーラムで表示されていたVBAコードと同一であったことから、中国のフォーラムで表示されたVBAコードをコピーした可能性があるという。そのうえでレポートは、攻撃者は中国語を話す脅威アクターとの見方をしている。また、この脅威グループが登録しているドメインの一部は「Terengganu Islamic Foundation」というマレーシアの団体のウェブサイトにリダイレクトされているという。この脅威アクターは2021年も活動を継続しており、レポートは新たなリソースを開発している恐れもあると指摘している。
■参考
