チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(以下、CPR)は、TP-Linkのルーターに埋め込まれた悪意あるファームウェアについて明らかにし、この攻撃が中国の国家支援型APTグループ「Camaro Dragon」によることを報告した。
CPRはヨーロッパの外務機関に対する一連の標的型サイバー攻撃について調査し、Camaro Dragonによる活動が、一般に「Mustang Panda」に関連するとみなされた活動と構造において著しく一致しているとした。
また、TP-Linkルーター用に作成された悪意あるファームウェアには、「Horse Shell」という名のカスタマイズされたバックドアを含む様々な有害コンポーネントが含まれていることがわかったとのこと。同バックドアによって、攻撃者は感染したデバイスを完全に制御し、検出を回避しながら侵害されたネットワークへのアクセスが可能になるという。
CPRは、Horse Shellを分析により掘り下げ、中国による国家支援型グループに関連する他のルーターインプラントとの比較を実施。同検証を通じて、Camaro Dragonの手口や戦術に着目し、脅威アクターがネットワーク機器に悪意あるファームウェアを埋め込んで攻撃に利用する方法についてのより深い理解が望まれるとしている。
【関連記事】
・3月に最も悪用された脆弱性は「Log4j」 チェック・ポイントが世界脅威インデックスを発表
・2022年第4四半期に最もなりすましに利用されたブランドは「ヤフー」──チェック・ポイント調べ
・チェック・ポイント、ChatGPTを利用した悪意あるメールやコード攻撃への注意喚起を実施
