中国ハッカーSalt Typhoon、通信事業者への攻撃で新たなバックドアGhostSpiderを使用
BleepingComputer – November 25, 2024
中国のAPTグループSalt Typhoonの新たなツール「GhostSpider」について、トレンドマイクロが報告。同ツールは、東南アジアの通信事業者および政府のネットワークを標的とした長期的なスパイキャンペーンで使用されていたという。
Salt Typhoon:最も「アグレッシブ」な中国のAPT
Salt Typhoonは中国の国家支援型ハッキンググループで、Earth Estries、GhostEmperor、またUNC2286の呼び名でも知られる。トレンドマイクロが「最もアグレッシブな中国のAPT」と評価するように、世界各地の重要インフラ関連組織や政府機関などを攻撃しており、最近ではベライゾンやAT&T、Tモバイルなど、米国の通信サービスプロバイダーを侵害していたことが話題になった。また米当局は、「広範かつ重大なサイバースパイキャンペーン」において同グループが米政府高官の非公開通信にアクセスしていたことも認めている。
関連記事:
Salt Typhoonのキャンペーン「Alpha」と「Beta」
Salt Typhoonは2023年から米国やアジア太平洋地域、中東、南アフリカ、およびその他地域における電気通信事業者や政府機関・関係者に加え、テクノロジー、コンサルティング、化学、運輸の各セクターに対して攻撃を仕掛けてきたとされる。トレンドマイクロによれば、同グループはこのうち少なくとも20件の攻撃において重要組織の侵害に成功しており、一部の攻撃においては当該組織が利用するベンダーまでもが侵害されていたという。
今回の新たなブログ記事において、同社の研究者は特に以下2つのキャンペーンの詳細を共有している。
- Alpha:ルートキット「Demodex」とモジュラー型バックドア「SnappyBee」を使って台湾の政府および化学系企業を狙った攻撃キャンペーン。
- Beta:新たなバックドアGhostSpiderとDemodexを使って東南アジアの通信事業者および政府ネットワークを狙った長期的なスパイキャンペーン。
初期アクセス
これらのキャンペーンにおける初期アクセス獲得手段は、露出した脆弱なエンドポイントの悪用。以下の脆弱性に対するエクスプロイトが使われるという。
- CVE-2023-46805、CVE-2024-21887(Ivanti Connect Secure VPN)
関連記事:MITRE、Ivantiのゼロデイ介して侵害されていた:CVE-2023-46805、CVE-2024-21887
- CVE-2023-48788(Fortinet FortiClient EMS)
- CVE-2022-3236(Sophos Firewall)
- CVE-2021-26855/ProxyLogon、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065(Microsoft Exchange)
関連記事:脆弱なMicrosoft Exchangeサーバーが世界に20,000超存在、攻撃受ける恐れも(CVE-2021-26855ほか)
初期アクセス獲得後のインテリジェンス収集およびラテラルムーブメントフェーズでは、LOLbinツールが使用される。
GhostSpider
キャンペーンBetaで観測されたGhostSpiderは、高いステルス性が求められる長期的なスパイオペレーション向けに設計された高度なマルチモジュラー型バックドア。DLLハイジャッキングによって標的システムにロードされ、正規ツール(regsvr32.exe)によってサービスとして登録される。また第2のモジュールによってメモリ内で直接ロードされるペイロードは暗号化されており、C2サーバーとの通信もTLSに保護されたカスタムプロトコルによって安全に行われるという。
このバックドアは、C2から受信する以下のコマンドを実行する役割を果たす。Salt Typhoonはこれらを駆使することで、ターゲット組織のネットワークや防御ソリューションに応じて攻撃手法を微調整できるという。
- Upload:攻撃者が制御する特定タスクの実行のため、有害なモジュールをメモリ内へロードする
- Create:オペレーションに必要なリソースをイニシャライズし、ロードされたモジュールをアクティベートする
- Normal:ロードされたモジュールの主要機能を実行する(データ抜き取りやシステム改ざんなど)
- Close:自身の形跡を消し、システムリソースを開放するためにメモリからアクティブなモジュールを除去する
- Update:通信感覚などのマルウェアの挙動を調整し、ステルス性と実効性を保つ。
- Heartbeat:C2サーバーとの断続的な通信を維持し、システムがまだアクセス可能であるかを確かめる
その他のツール
Salt Typhoonは、GhostSpiderに加えて以下のような専有ツールやオープンソースツールを用いる。SnappyBeeとShadowPadについては、中国の複数APTグループが共通して使用しているという。
- SnappyBee(Deed RATとも):長期的なアクセスやスパイ活動に使われるモジュラー型バックドア。データ窃取、システムモニタリング、コマンド実行などの性能を備える。
- Masol RAT:クロスプラットフォーム型バックドア。Linuxサーバーを中心に狙い、リモートアクセスやコマンド実行を実現する。
- Demodex:侵害したシステム上で永続性を維持するためのルートキット。
- SparrowDoor:リモートアクセス性能を持つバックドアで、ラテラルムーブメントやC2通信の確立に使われる。
- CrowDoor:特に政府や通信事業者を狙ったスパイ攻撃で使われるバックドア。ステルス性の維持やデータ抜き取りに特化している。
- ShadowPad:スパイ活動やシステムコントロールに使われるマルウェア。
- NeoReGeorg:ステルシーな通信チャネルを作成し、ネットワーク防御策のバイパスと侵害されたシステムの制御を実現するトンネリングツール。
- frpc:C2サーバーとの安全な通信を作成するための、オープンソースのリバースプロキシツール。
- Cobalt Strike:ラテラルムーブメントや特権昇格などに使われる商用ペネトレーションテストツール。
広範なツールを用いて巧妙な攻撃を実施するSalt Typhoonへの対策として、トレンドマイクロは、警戒を緩めずに多層サイバー防御を適用するよう組織に推奨している。
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価