2021年2月9日、Unit 42はこれまでに知られる中でも最も洗練されたサイバースパイツールの1つであるBendyBearの発見についての記事を公開しました。同ツールはその設計上非常にステルス性が高く、セキュリティ製品による検出や脅威リサーチャーによるリバースエンジニアリングが非常に難しいものとなっています。Unit 42は、このツールの機能に関する詳細なレポートを公開しました。それが「BendyBear: サイバースパイグループBlackTechとリンクされた新しい中国のシェルコード」です。
BendyBearは別のマルウェアWaterBearの亜種のようです。アクティビティを隠蔽して横展開を行う後者とは強い類似性が見られます。なお、Trend MicroやTeamT5などをはじめとするリサーチャーは、WaterBearを攻撃グループBlackTechに帰属させているのですが、このBlackTechは中国政府とリンクしていると評価されている攻撃グループで、早ければ2009年にさかのぼって、東アジアの政府や技術組織への攻撃に責任があると考えられています。
BendyBearは、RC4暗号の修正版を使用します。これにより暗号強度が増し、ネットワーク通信遮断はいっそう困難になります。またBendyBearはマルウェアにカメレオンのような機能を与えるポリモーフィックコードを使用しており、ランタイム実行中にバイト操作を行うことで、読み取りができず、読み取っても内容がわからず、検出が非常に難しいものになっています。同マルウェアはペイロードをファイルシステムではなくメモリに直接ロードするので従来型のフィンガープリントも残らず、脅威リサーチャーやセキュリティ製品がこうしたフィンガープリントをもとに見つけることができないようになっています。これらの機能のおかげで同マルウェアの検出は非常に困難です。
Unit 42はこのBendyBearに関する情報をCyber ThreatAllianceを含む信頼できる政府および業界パートナーとすでに共有済みです。共有データには、組織がBendyBearによって侵害されたかどうかを判断し、将来の攻撃をブロックするために使用できる侵入の痕跡(IoC)が含まれています。
パロアルトネットワークスは、この情報公開によって、BendyBearが十分な注目を集め、サイバースパイ活動上、いまよりずっと効果の低いツールとなることを期待しています。そのうえで、各組織の皆さまは高度な戦術で検出を回避してくるSolarWindsの攻撃のような攻撃者に対する警戒を怠らないようにお願いいたします。
パロアルトネットワークスは、本稿に概説したBendyBearの攻撃からの保護をCortex XDR、DNSセキュリティ、URLフィルタリング、WildFireサブスクリプションを備えた次世代ファイアウォールを通じて提供しています。