2025年5月29日、Googleの脅威インテリジェンスチーム(GTIG)は、中国政府支援のハッカーグループ「APT41(別名:HOODOO)」による新たなサイバー攻撃手法を報告しました。今回の攻撃では、Google Calendarがコマンド・アンド・コントロール(C2)手段として悪用され、複数の政府機関や業界団体が標的となった形跡があります。
目次
巧妙に仕組まれたマルウェア感染の流れ
GTIGが確認した手口は、2024年10月に発生したもので、フィッシングメールを用いて標的にZIPファイルを配布するというものでした。
このZIPには、PDFに見せかけたLNKファイルと画像ファイル群が含まれており、ファイルを開くとマルウェアが水面下で実行されます。特に注目されたのが「TOUGHPROGRESS」と呼ばれるマルウェアです。
三段階で動作するマルウェア構造
マルウェアは以下の3つのモジュールで構成され、順次起動していきます:
- PLUSDROP:初期DLLモジュールで、次のステージをメモリ上で復号して実行。
- PLUSINJECT:”svchost.exe”へのプロセスホローイングを実行。
- TOUGHPROGRESS:最終的に情報収集とGoogle カレンダーを通じたC2通信を担当。
これらは、暗号化・圧縮・難読化・メモリ常駐型の動作など、高度な隠蔽手法を組み合わせています。
Google カレンダーを利用したC2通信の仕組み
TOUGHPROGRESSは、Google カレンダーのイベントに暗号化データを埋め込み、通信を行います。
攻撃者は事前に設定した日付のイベントにコマンドを記載し、マルウェアはそれを読み取り、実行結果を再びカレンダーに書き戻します。
GTIGとMandiantの協力により、この通信プロトコルの解析も完了しており、暗号方式やCalendar APIの使い方など、詳細な挙動が明らかになっています。
無料ホスティングと短縮URLを活用した攻撃経路
APT41はマルウェアの配信に無料ホスティングサービス(例:Cloudflare Workers、InfinityFreeなど)を活用。
これらのインフラは実際の企業やサービスを模倣しており、見た目での判別が困難です。また、lihi.ccやtinyurlなどの短縮URLを使い、ユーザーを誘導するケースも多く確認されています。
Googleによる対処と被害抑制策
Googleは既にAPT41が悪用していたGoogle CalendarやWorkspaceのプロジェクトを停止。Safe Browsingにも該当URLを登録し、アクセス時の警告表示を実施。加えて、被害が確認された組織への通知と技術支援も行っています。
セキュリティ対策のポイント
- Google Calendar APIの不審な使用を監視
- IOC(インジケーター・オブ・コンプロマイズ)をもとにSIEM等へシグネチャ追加
- 無料ホスティングや短縮URLのドメインをブラックリスト化
- エンドポイントでのプロセスホローイング検知機能を強化
APT41は、正規のクラウドサービスを活用して検知を回避しつつ、標的に対して執拗な攻撃を続けています。企業や組織にとって、クラウド利用状況の可視化や早期異常検知のための体制整備が急務となっています。
関連記事
台湾政府に関連する研究機関へ中国のハッカー集団APT41が不正アクセス
2024年のゼロデイ攻撃は一般消費者向けソフトウェアからエンタープライズ ベンダーへ移行-Google調査
GeoServerの脆弱性(CVE-2024-36401)を悪用したマルウェア攻撃が観測される
中国系スパイグループ「UNC3886」がサポート終了した Juniper ルーターを標的にサイバー攻撃
ランサムウェア 攻撃 グループ Qilinが宇都宮セントラルクリニックへの不正アクセスと情報窃取を主張
Qakbot マルウェアの指導者、グローバルなランサムウェア攻撃への関与で起訴 〜仮想通貨2400万ドル超も押収〜
ゼロトラストとは?概念や今までのセキュリティとの違いを解説
Google、新しいセキュリティAI「Sec-Gemini v1」を発表
BeReall(ビーリアル)の危険性を解説
