中国のハッカーグループであるMirrorFaceが利用するANELの仕組みと感染手法

MirrorFaceが利用する「ANEL (エーネル)」とは、中国のハッカーグループ　MirrorFaceが使用する独自のマルウェアです。これは特定のターゲットを狙ったサイバー攻撃で使われるツールの一つになります。

ANELは、バックドア型マルウェアと呼ばれるソフトウェアです。

バックドアとは、攻撃者がターゲットのコンピュータに裏口を作る役割を果たします。その結果、攻撃者はそのコンピュータを遠隔で操作できるようになります。

 

MirrorFaceは、中国政府と関連があるとされるグループで、日本の政治、外交、技術情報を狙った攻撃を繰り返しています。これまでの攻撃事例から、その高度な技術力と持続的な活動が明らかになっています。

 

 

ANELの機能は以下の通りです。

ターゲットのパソコン内に保存されているファイルや機密情報を攻撃者の元に送ります。

例：パスワード、メール、文書ファイルなど。

 

攻撃者が、感染したパソコンをリモートで操作できます。

例：新しいファイルを作成、データを削除、他のマルウェアをインストール。

 

ANELは、インターネットを使って攻撃者と通信しますが、通常の通信に見せかけることで発見されにくい設計になっています。

 

 

ANELの感染方法は以下の通りです。

攻撃者(MirrorFace)は、ターゲットに対して不審なメールを送ります。

 

メールには、次のような要素が含まれています。

・信頼できそうな送信元を装う。(例：上司や取引先の名前を使う)

・興味を引く内容。(例：「重要な書類」や「契約書」などのタイトル)

・添付ファイルやリンクが含まれている

 

メールに添付されているファイルをターゲットが開いてしまうと感染が始まります。

添付ファイルは多くの場合、次の形式が使われます。

・Word文書(.doc/.docx)・・・悪意のあるマクロが仕込まれている。

Wordファイルには「コンテンツを有効化してください」と表示され、ターゲットがそれに従うとマルウェアが実行されます。

・実行可能ファイル(.exe)

・圧縮ファイル(.zip/.rar)

 

悪意のあるファイルを開いた瞬間に、以下の動作が行われます。

・マルウェア(ANEL)のダウンロード

添付ファイル内に隠されたスクリプトが、ANELを攻撃者のサーバーからダウンロードします。

・バックドアの作成

ANELはターゲットのシステムにバックドア(裏口)を設置します。

・自動起動の設定

ANELは再起動後も動作するよう、システムに変更を加えます。

 

ANELは、攻撃者が用意したC2(Command and Control)サーバーと通信を開始します。

これにより、攻撃者はターゲットのPCを遠隔操作できるようになります。

 

 

ANELを使った攻撃方法は以下の通りです。

PC内の機密ファイルやメールを盗む。

 

キーボード入力やスクリーンの内容を監視する。

 

他のマルウェアをインストールして、ネットワーク全体に感染を広げる。

 

 

ANELのようなバックドア型マルウェアは、一度感染すると気づかれにくく、長期間にわたってターゲットの情報を盗み続ける可能性があります。また、通信の隠蔽機能があるため、セキュリティソフトで発見されにくいことも特徴です。

ANELは、ターゲットのコンピュータにバックドアを作り、情報を盗んだり遠隔操作したりするためのマルウェアです。これは高度なサイバー攻撃を支える重要なツールであり、主に政府機関やメディアを狙った攻撃に利用されています。