State-backed hackers breach telcos with custom malware
2021/10/18 BleepingComputer — 南アジアの通信事業者や IT 企業を標的とした攻撃において、未知だった国家支援型の脅威アクターが、新しいツールセットを利用している。このグループは Symantec の研究者たちにより発見され、Harvester という名前で追跡されているが、その目的は、IT/電気通信/政府機関に焦点を当てた、高度な標的型スパイ活動で情報を収集することにある。
Harvester の悪意のツールは、これまでに出回ったことがなく、既知の敵とのつながりを持たない、新規の脅威アクターであることが示されている。Symantec の研究者たちは、「Harvester グループは、カスタムメイドのマルウェアと、一般に公開されているツールを使用して攻撃を行っており、2021年6月に始まり、直近の活動は2021年10月に見られる。標的となるセクターは、通信/政府/情報技術などである。ツールの機能や、カスタム開発、標的とされた被害者などから、Harvester が国家に支持されたアクターであることが示唆される」と述べている。
以下は、Harvesterのオペレーターが攻撃に使用したツールの概要である。
- Backdoor.Graphon – Microsoftのインフラを使用して C2 を実行するカスタム・バックドア。
- Custom Downloader – Microsoftのインフラを使用して C2アクティビティを実行するカスタム・ダウンローダ。
- Custom Screenshotter – 定期的にスクリーンショットをファイルに記録する。
- Cobalt Strike Beacon – CloudFrontインフラを使用する C2アクティビティ (Cobalt Strike は、コマンドの実行/他のプロセスへの注入/現在のプロセスの昇格/プロセス偽装、ファイルのアップロード・ダウンロードに使用できる市販のツール)。
- Metasploit – 既製のモジュール式フレームワークであり、被害者のマシン上で様々な悪意の目的に使用できる。このフレームワークには、特権の昇格/画面のキャプチャ/永続的なバックドアの設定などが含まれる。
巧妙なトリックで追跡を振り切る
Symantec のアナリストは、「最初の感染経路は解明できなかったが、その目的のために、悪意の URL が使用されていた証拠がある。Graphon は脅威アクターにネットワークへのリモートアクセスを与え、コマンド・アンド・コントロール (C2) の通信活動を、CloudFront/Microsoft のインフラに紛れ込ませることで、その存在をカモフラージュしている。
興味深い点は、カスタム・ダウンローダの動作方法にある。システム上に必要なファイルを作成し、新しいロードポイント用のレジストリ値を追加し、最終的にhxxps://usedust[.]comで埋め込み Web ブラウザを開く。これは、Backdoor.Graphon が取得されるポイントのように見えるが、行為者は混乱を招くために、この URL を囮として使用しているだけだ。
カスタム・スクリーンショット・ツールは、デスクトップからイメージをキャプチャし、パスワードで保護された ZIP アーカイブに保存し、Graphon を通じて流出させる。各 ZIP は1週間保存され、これより古いものは自動削除される」と述べている。
Symantec の警告によると、「Harvester は、現在も活動を続けており、主にアフガニスタンの組織を狙っている」ようだ。研究者たちは、新しいグループのツールをサンプリングできたが、この活動を特定の国のものとするには、まだ十分な証拠がない。
つい先日に、BlackBerry Research and Intelligence Unit の調査結果をまとめた、「中国の国家支援 APT41 グループ:高スティルス性マルウェアを大量に展開している」という記事をポストしましたが、それとは別の話なのでしょうか?いずれにせよ、こうした国家支援型のマルウェアが、いったい何処に忍び込み、どんな能力を持っているのかと考えると、ほんとうに怖くなってきますね。
IoT OT Security News 