中国のハッカーたちが脆弱化した MS Exchange に PlugX マルウェアを注ぎ込む

Chinese Hackers Implant PlugX Variant on Compromised MS Exchange Servers

2021/07/28 TheHackerNews — 今年の3月に明らかになった、Microsoft Exchange Server の欠陥を悪用する中国のサイバー犯罪組織が、これまで文書化されていなかったリモート・アクセス・トロイの木馬 (RAT) の亜種を、東南アジア諸国の侵入したシステムに埋め込んでいる。Palo Alto Networks の脅威インテリジェンス・チームである Unit 42 は、今回の侵入を PKPLUG (別名:Mustang Panda / HoneyMyte) という名の脅威アクターによるものとし、侵入されたサーバーの1つに配信された、Thor と呼ばれるモジュール型 PlugX マルウェアの新バージョンを確認したと述べている。

2008年の時点において、PlugX は第2段階のインプラントであり、ファイルのアップロード/ダウンロード/変更や、キーストロークの記録、ウェブカメラの制御、リモートのコマンドシェル・アクセスなどの機能を備えていた。Unit 42 の研究者である Mike Harbison と Alex Hinchliffe は、火曜日に発表した技術論文の中で、「今回観測された亜種は、コア・ソースコードに変更が加えられているという点でユニークなものである。発見された最も古い Thor サンプルは 2019年8月のもので、ブランド名が変更されたコードの、最も古い例となっている。この亜種では、ペイロード配信メカニズムの強化や、信頼されたバイナリの悪用など、新たな機能が観察された」と述べている。

3月2日に Microsoft は、中国を拠点とする Hafnium というハッカーが、Exchange Server に存在する ProxyLogon と呼ばれるゼロデイ・バグを悪用して、特定のターゲットから機密データを盗み出していることを公開した。また、ランサムウェア・グループ (DearCry / Black Kingdom) や、暗号マイニング・ギャング (LemonDuck) などの複数の脅威アクターも、この欠陥を悪用してExchange Server を乗っ取り、最高特権レベルでのコード実行を許可する、Web Shell をインストールしていることが確認された。

Unit 42 によると、このリストに PKPLUG も加わった。攻撃者たちは、アンチ・ウイルスの検出メカニズムを回避して Microsoft Exchange Server を標的とし、BITSAdmin などの正規の実行ファイルを悪用して、脅威アクターが管理する GitHub リポジトリから、一見無害に見えるなファイル Aro.dat を取得していた。このファイルには、暗号化/圧縮された PlugX のペイロードが格納されており、Windows Registry の問題をクリーンアップ/修正するためにデザインされた、無償で利用できる高度な修復/最適化ツールを装っている。

最新の PlugX のサンプルには、様々なプラグインが搭載されており、「攻撃者が目的を果たすために、侵害したシステムを監視/更新し、また、対話するための、様々な機能を提供する」と研究者は述べている。C2 (command-and-control) インフラをつなぎ合わせた結果、Thor と PKPLUG の関連性は明らかであり、また、最近になって発見された別種の PlugX とは、悪意の振る舞いにも共通点が見られる。今回の攻撃に関連する、その他の危険因子については、ココを参照して欲しい。暗号化された PlugX ペイロードを、関連する PlugX ローダーを使用せずに解読/展開するための Python スクリプトを、Unit 42 は公開している

7月に「米国と同盟国が Microsoft Exchange 攻撃に関して正式に中国を非難」という記事をポストしましたが、その続編というか、テクニカル版というか、具体的な脅威グループの名前や手口が、徐々にリークされているという感じです。こんな記事を読まされると、いろいろと不安になってしまいますが、「NSA が発見した Exchange の脆弱性と PoC エクスプロイト」なども読んで、対策を考えていただければと思います。

%d bloggers like this: