中国ハッキング・グループの Rootkit は Windows 10 をターゲットにスパイ活動を行う

Chinese Hackers Used a New Rootkit to Spy on Targeted Windows 10 Users

2021/10/01 TheHackerNews — これまで詳細が不明だった、中国語を話す脅威アクターだが、東南アジアのターゲットを狙い、侵害された Windows システムにカーネルモード Rootkit をデプロイするために、2020年7月の時点から回避操作を行っていたようだ。Kaspersky が GhostEmperor と名付けた、このハッキング・グループによる攻撃は、標的となったホストに対する持続性と遠隔操作を可能にする、洗練されたマルチステージのマルウェア・フレームワークを使用していたとも言われている。

この Rootkit を、Kaspersky は Demodex と呼んでいるが、エジプト/エチオピア/アフガニスタンに加えて、マレーシア/タイ/ベトナム/インドネシアの、複数の有名企業で感染が報告されている。Kaspersky の研究者たちは、「Demodex は、ユーザーモードのマルウェアのアーティファクトを、捜査当局やセキュリティ・ソリューションから隠す。その一方で、Windows Driver Signature Enforcement を回避するための、Cheat Engine というオープンソース・プロジェクトのカーネルモード・コンポーネントを含む、文書化されていない興味深いロードスキームを使用している」と述べている。

GhostEmperorは、複数の侵入経路を利用して、メモリ上でマルウェアを実行する。その中でも、Apache/Window IIS/Oracle/Microsoft Exchange などの公開サーバーに存在する、既知の脆弱性 (2021年3月に明らかになった ProxyLogon を含む) を悪用して最初の足場を築き、被害者のネットワークの他の部分へと横展開していく。

侵入に成功した後に、Rootkit の展開へとつながる感染チェーンは、WMI や PsExec などの正規のソフトウェアを使用して、同じネットワーク内の別のシステムを介してリモートで実行され、追加のペイロードをインストールするための、メモリ内インプラントの実行へとつながっていく。

発見や分析を逃れるために、Demodex は難読化などの検出回避手法を用いているが、Microsoft の Driver Signature Enforcement メカニズムを回避し、ビデオゲーム用の Cheat Engine に同梱されている、dbk64.sys という署名入りオープンソースのドライバを利用することで、署名のない任意のコードを、カーネル空間で実行することを可能にしている。

研究者たちは、「長年にわたる活動や、著名な被害者、高度なツールセットなどを分析すると、裏で糸を引く脅威アクターは高度な技術を持ち、熟練していることが分かる。さらに言えば、通常とは異なる高度なアンチ・フォレンジック技術や、アンチ・アナリシス技術を幅広く使用していることは明らかだ」と述べている。

今回の情報公開が行われた理由は、TAG-28というコードネームで呼ばれている中国系の脅威アクターが、The Times Group や Unique Identification Authority of India (UIDAI) といったインドのメディアや政府機関、および、マディヤ・プラデシュ州の警察などへの、侵入に関与していることが判明したことによる。今週の初めに Recorded Future は、アフガニスタン最大の通信事業者である Roshan のメールサーバーを標的とした、中国に支援された4グループの活動を発見した。それらのグループは、RedFoxtrot と Calypso APT、そして Winnti グループと PlugX グループに関連した、バックドアを使用する2つのグループとされる。

先日に、「ロシアン・ハッカーの実態:その戦略/経歴/相関などを分析してみた」という記事をポストしましたが、原題には「ロシアン・ハッカーは Noisy」という表現がありました。その一方で、中国のハッカーはサイレント型だと言われています。それぞれ、動機が経済と政治だと言われているので、ネットワークに侵入した後の行動パターンに違いがあるようです。中国系ハッカー、怖いですね。

%d bloggers like this: