![](https://image.news.livedoor.com/newsimage/stf/4/8/4866c_1223_981a6b6ef0df524c030b5173a7713f2b.jpg)
Earth Preta Updated Stealthy Strategies
Earth Pretaは中国に拠点を置く持続的標的型攻撃グループ。この脅威グループが複数のマルウェアを使用し、データの流出を目的とした複数のツールを使って新たなキャンペーンを展開していることがわかった。セキュリティソリューションやメールスキャンサービスを回避するために、戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)を積極的に変更していることが確認されている。
![](https://image.news.livedoor.com/newsimage/stf/f/5/f55c4_1223_1e472d88897f93585561a8f562f81f2e.jpg)
The full infection chain
TONEINS、TONESHELL、PUBLOADといったマルウェアがこのキャンペーンで使われている。電子メールの本文に埋め込まれたGoogle Driveのリンクからダウンロードされる仕組みになっており、スキャンサービスやゲートウェイソリューションを回避するためにGoogle Driveのリンクとパスワードが埋め込まれたドキュメントがルアーとして使われている。
PUBLOADはデータを転送するために偽装されたHTTPヘッダを使用するマルウェアとして知られている。キャンペーンで使われたPUBLOADは亜種とみられており、正規のホスト名を持つHTTPヘッダをパケットの先頭に付加していることがわかった。この変更は、正常なトラフィックの中に悪意のあるデータを隠すために行われたものと考えられている。
![](https://image.news.livedoor.com/newsimage/stf/9/9/99604_1223_0663ed9f083ccaadf83e43eef21338c0.jpg)
Infection flow for the new arrival vector
その他にも、Windows 10のユーザーアカウント制御(UAC: User Account Control)を回避する目的でHackTool.Win 32.ABPASS、HackTool.Win 32.CCPASSといったツール、コマンドの実行やイベントログの消去が可能なバックドアであるCLEXEC、キーストロークの記録やファイル窃取を行うCOOLCLIENT、TROCLIENT、PlugXなどのユーティリティが導入されているという。
Earth Pretaのような持続的標的型攻撃グループから組織を保護するため、従業員やパートナーに対してフィッシングに関する意識向上トレーニングを徹底して実施することが求められている。特に見慣れない送信者からのメッセージや不明な題名のメッセージの電子メールを開く場合、細心の注意を払うことが望まれている。