中国ハッカーChamelGangはLinuxマルウェアの通信にDNS over HTTPSを利用
ChamelGangのLinuxマルウェア「ChamelDoH」はDNS-over-HTTPSを用いてC2と通信
中国の脅威グループ「ChamelGang」と、同グループが使用するこれまで知られていなかったインプラント「ChamelDoH」についてのレポートを、サイバーセキュリティ企業Stairwellが公開。これによると、ChamelDoHはDNS over HTTPS(DoH)を用いて攻撃者のサーバーと通信するのだという。
ChamelGangとは?日本も標的に?
ChamelGangは中国に関連する熟練の脅威アクターで、2021年9月に初めてPositive Technologiesによって報告された。同社のレポートはWindows向けツールセットに焦点を当てたもので、ChamelGangの主な目的はデータの窃取であることや、ロシア、米国、日本、トルコ、台湾、ベトナム、インド、アフガニスタン、リトアニア、ネパールのエネルギー、航空、政府関連組織を標的にしていることなどを伝えていた。
NS over HTTPS(DoH)とは?
そもそもDNSとはソフトウェアやOSによる名前解決(ホスト名からIPアドレスを求めること)に使われるプロトコルだが、DNSへの問い合わせやその応答は暗号化されずに平文で行われ、中間者による傍受や改ざんが技術的には可能である。このようなプライバシーに関する懸念から、DNSクエリの暗号化を行い傍受などがなされないようにするための技術として、DNS over HTTPS(DoH)が開発された。
DoHはプライバシーの保護や政府による検閲の防止などに役立つものだが、反面、攻撃者がDoHを利用してマルウェアの通信を暗号化してしまうと、セキュリティソフトウェアによる悪意あるネットワーク通信の監視が困難になる恐れがあるとも言える。ChamelDoHのケースでも、感染済みデバイスとC2サーバーとの間の通信がDoHにより暗号化されたことで、悪意あるクエリと通常のHTTPSトラフィックとの区別がつかない状態となってしまっていた。
ChamelDoHはAES128とbase64を利用して検出を回避
Stairwellによれば、ChamelDoHは感染したマシンをプロファイルするためにシステム情報のさまざまな要素を収集し、またファイルのアップロード、ダウンロード、削除、実行などの基本的なリモートアクセス操作を行うことができるという。ChamelDoHは2022年12月に初めてVirusTotalにアップロードされた。
ChamelDoHの通信はAES128によって暗号化される。また同マルウェアは改変されたbase64アルファベットを使ってC2通信をエンコードし、それをアクターが管理するネームサーバー(ns1.spezialsex[.]com、ns2.spezialsex[.]com)のサブドメインとして用いる。つまり、例えば「<エンコードされたデータ>.ns2.spezialsec[.].com」がマルウェアのDoHクエリとして使用されることになる。
そしてこのクエリを受信したネームサーバーは、エンコードされた部分を抽出・復号することにより、感染済みデバイスから抜き取られたデータを受け取ることができる。この手法により、リクエストが有害なものであることが見抜かれづらくなり、検出される確率も下がる。なおBleepingComputerの記事が執筆された時点で、いかなるプラットフォームのアンチウイルスもChamelDoHを悪意あるものとしてマークできていないという。
日本の組織も要注意?
Stairwellのレポートには、ChamelDoHを用いたChamelGangの攻撃の被害者に関する記載はなく、日本の企業や組織が狙われたかどうかは定かではない。しかし、過去に同グループが日本の組織を標的にしているのが観測されていることから、今後国内のいずれかの組織が狙われる可能性は捨てきれないと言える。したがって、ChamelGangの動向に注目しておいても損はないだろう。
(情報源:BleepingComputer “Chinese hackers use DNS-over-HTTPS for Linux malware communication“、Stairwell “ChamelGang and ChamelDoH: A DNS-over-HTTPS implant“)
6月15日:その他の注目ニュース
Windowsカーネルの脆弱性CVE-2023-32019に対するパッチはデフォルトでは無効化されている:マイクロソフトが説明
Bleeping Computer – Jun 14 2023 21:43
マイクロソフトによると、2023年6月の月例セキュリティ更新プログラムにはCVE-2023-32019の修正プログラムが含まれるものの、これはデフォルトでは無効化されているという。このためユーザーはアップデートの適用後、自らレジストリを変更してパッチを有効化させねばならない。
なぜこのパッチがデフォルトで無効化されているのかに関する詳しい情報は提供されなかったものの、マイクロソフトは「今後のリリースではデフォルトで有効化されるようになる」とした。パッチ有効化によりOSに問題が生じる可能性があるかどうかも不明であることから、Bleeping Computerは、まずは数台のマシンでテストするのが安全かもしれないと指摘している。
GitHub上の偽のゼロデイPoCエクスプロイトが、WindowsやLinux向けマルウェアをプッシュ
Bleeping Computer – Jun 14 2023 10:00
ハッカーらが、ゼロデイ脆弱性の偽のPoCエクスプロイトを公開するため、TwitterやGitHub上でサイバーセキュリティ研究者になりすましている。これらの悪意あるエクスプロイトはWindowsやLinuxをマルウェアに感染させるためのもので、偽のサイバーセキュリティ企業「High Sierra Cyber Security」の研究者とされる人物によって宣伝されており、サイバーセキュリティ研究者や脆弱性研究に携わる企業が狙われていると思われる。このキャンペーンは、サイバー脅威インテリジェンスプラットフォームのVulnCheckによって発見された。同プラットフォームによると、このキャンペーンは遅くとも2023年5月から行われているとのこと。また、Chrome、Discord、Signal、WhatsApp、Microsoft Exchangeといった一般的なソフトウェアにおけるゼロデイ欠陥に対するエクスプロイトとされるものが宣伝されているとのこと。
WordPressプラグインのWooCommerce Stripe Gatewayで、重大なセキュリティ脆弱性が発見される(CVE-2023-34000)
The Hacker News – Jun 14 2023 08:33
WordPressプラグイン「WooCommerce Stripe Gateway」で、機微情報を不正に開示される可能性のあるセキュリティ上の欠陥が発見された。この欠陥はCVE-2023-34000として追跡され、バージョン7.4.0以前のものに影響を与える。2023年5月30日にリリースされたバージョン7.4.1では、同プラグインの保守管理者によってこの欠陥の対処がなされたという。
ICS月例パッチ:シーメンスはサードパーティコンポーネントに影響与えるものなど180件超の脆弱性について通知
Security Week – Jun 14 2023 10:52
シーメンスとシュナイダーエレクトリックが火曜に月例のセキュリティアップデートをリリース。シーメンスはSimatic S7-1500に影響を与えるLinuxカーネルの脆弱性108件や同製品のBIOSにおける脆弱性54件などについて顧客に通知。これらに対するパッチはまだ準備中とのことで、一部ワークアラウンドや緩和策が提供されている。
一方シュナイダーエレクトリックは計5件の脆弱性に関してアドバイザリを公開。このうちFoxboroに影響を与えるCVE-2023-2569とCVE-2023-2570は深刻度が高く、攻撃者によるDoS攻撃や権限昇格、カーネルでのコード実行を可能にする恐れがあるとのこと。