中国ハッカーUNC3886の長期的なスパイ活動で使われる手法やマルウェアについてMandiantが解説
The Hacker News – Jun 19, 2024
中国との関連が指摘されるサイバースパイグループUNC3886の活動について、Mandiantが新たなブログ記事を公開。標的ネットワークへ潜り込み、セキュリティソフトに検出されることなく長期間にわたって対象組織をスパイするために使われるテクニックやマルウェアについて解説した。
UNC3886は、ForinetやVMware製品のゼロデイ脆弱性を悪用して標的を侵害することで知られるグループ。アジア、北米、オセアニア、ヨーロッパ、アフリカの政府組織のほか、電気通信、テクノロジー、航空宇宙・防衛、エネルギー・ユーティリティといった部門の組織や企業を標的にスパイ活動を行っているとされる。
<UNC3886による悪用が観測されている脆弱性>
- CVE-2022-41328(Fortinet FortiOS)
- CVE-2022-22948(VMware vCenter)
- CVE-2023-20867(VMware Tools)
- CVE-2022-42475(Fortinet FortiOS)
Mandiantは、ゼロデイの悪用によりvCenterサーバーおよびESXiサーバーへのアクセスを達成したUNC3886が、オープンソースのルートキット「REPTILE」と「MEDUSA」をゲスト仮想マシン上で利用しているのを観測。これらはいずれも、アクセスの維持と検出の回避のために展開されるという。
- REPTILE:ローダブル・カーネル・モジュール(LKM)として実装されるオープンソースのLinuxルートキット。システムへのバックドアアクセスを提供する。
- MEDUSA:ダイナミックリンカーハイジャッキングを実装するオープンソースのルートキットで、「SEAELF」というインストーラーコンポーネントによって展開される。認証成功時のユーザー認証情報をロギングしたりコマンドを実行したりできるなど、REPTILEにない性能を備え、REPTILEの代替として実験的に使用されていると思われる。
Mandiantはさらに、GitHubやGoogle Driveといった信頼されているサービスをC2チャネルとして用いるバックドアが使用されている点についても報告。
- MOPSLED:シェルコードベースのモジュラーバックドアで、HTTPによって、またはTCPを介したカスタムバイナリプロトコルによってC2サーバーと通信する性能を持つ。GitHubをC2として利用し、プラグインを呼び出す。APT41など、中国のほかのサイバースパイグループにも使用される。
- RIFLESPINE:クロスプラットフォーム型のバックドアで、Google Driveを活用してファイルの転送やコマンドの実行を行う。
このほか、Mandiantのブログ記事ではSSHバックドアを使用したテクニックの解説やTACACS+認証からの認証情報抽出手法などの解説も提供されている。