カメレオンと呼ばれる新たな高度持続性脅威:日本を含む国々の重要インフラを狙っている

A New APT Hacking Group Targeting Fuel, Energy, and Aviation Industries

2021/01/04 TheHackerNews — ロシア/米国/インド/ネパール/台湾/日本において、燃料/エネルギー/航空などの産業を標的とし、そのネットワークからデータを盗む一連の攻撃の背後には、これまで記録されていなかった脅威アクターが存在することが判明した。

サイバーセキュリティ企業である Positive Technologies は、この高度持続性脅威 (APT : advanced persistent threat) グループを、ChamelGang と名付けた。なぜなら、Microsoft/TrendMicro/McAfee/IBM/Google などの正規サービスに、マルウェアとネットワーク・インフラを偽装する、カメレオン能力を持つからである。

同社の研究者たちは、調査したインシデントの1つを分析した上で、攻撃者は目的を達成するために、トレンドの侵入手法であるサプライチェーンを利用した。このグループは、子会社を侵害し、そこを経由してターゲット企業のネットワークに侵入した。信頼関係を利用した攻撃は、その実行が複雑であるため、今日では稀である。この方法を用いて、ChamelGang グループは目的を達成し、侵害されたネットワークからデータを盗み出せた」と述べている。

敵対者が仕掛けた侵入は、2021年3月末に開始されたと考えられている。その後、8月には、Microsoft Exchange Server に影響を与える、ProxyShell Chain と呼ばれる脆弱性を利用した攻撃が行われた。その技術的詳細は、同月初めに開催されたセキュリティ・カンファレンス Black Hat USA 2021 で明らかにされた。

また、3月に行われた攻撃は、Red Hat JBoss Enterprise Application の脆弱性 CVE-2017-12149 を利用し、ホスト上でリモート・コマンドを実行し、昇格した特権でマルウェアを起動し、ネットワーク上で横方向にピボットし、偵察のための悪意のペイロードを展開した上で、DoorMe と呼ばれるバックドアを展開するものだった。それにより、子会社の組織に侵入した上で、エネルギー会社のネットワークにアクセスした点が注目される。

研究者たちは、「Golang で書かれたパブリック・ユーティリティー FRP (Fast Reverse Proxy) が使用され、感染したホストは攻撃者により制御されてしまった。このユーティリティは、リバース・プロキシ・サーバーへの接続を可能にする。攻撃者のリクエストは、socks5 プラグインにより、設定データから得られたサーバー・アドレスを経由していた」と述べている。

その一方で、8月にロシアの航空関連企業を標的とした攻撃では、ProxyShell の欠陥(CVE-2021-34473 CVE-2021-34523 CVE-2021-31207) が悪用され、侵害されたノードに追加の Web シェルがドロップされ、リモートからの偵察が行われ、最終的には、任意のコマンド実行やファイル操作を可能にするために、機能拡張された DoorMe インプラントの修正版がインストールされた。

Positive Technologies の Head of Threat Analysis である Denis Kuvshinov は、「ロシアの燃料/エネルギー複合体や航空産業を標的にすることは、特別なことではなく、また、この分野は最も頻繁に攻撃される3つの分野の1つである。昨年の全ケースにおける 84% は、データを盗むために特別に実行された攻撃であり、財務上および評判上の大損害を引き起こすものだ」と述べている。

マルウェアも、スティルス型とかカメレオン型とか、いろいろとあって追いかけるのも大変です。この ChamelGang ですが、行動パターンからして、中国の国家支援グループのようにも思えますが、断定はできませんね。以前に、「ロシアの行政機関が中国の Webdav-O ウィルスに攻撃されている」という記事をポストしましたが、この二国間にも熾烈な戦いがあるようです。それと、その記事を読み直して分かったのですが、TaskMasters という中国の脅威グループを追跡した、Group-IB の CEO は、ロシア当局に逮捕されています。関係が複雑ですね。

%d bloggers like this: