中国のハッカーが台湾の金融機関を狙う:スティルス・バックドアで 250日も潜伏

Chinese Hackers Target Taiwanese Financial Institutions with a new Stealthy Backdoor

2022/02/06 TheHackerNews — 中国の APT (Advanced Persistent Threat) グループが、少なくとも1年半にわたって、台湾の金融機関を標的にした「執拗なキャンペーン」を展開していたことが判明した。Broadcom 傘下の Symantec は、先週に発表したレポート「Antlion: Chinese APT Uses Custom Backdoor to Target Financial Institutions in Taiwan」の中で、スパイ活動を主目的とした Antlion の侵入行為により、xPack と呼ばれるバックドアが導入され、侵入したマシンを広範囲で制御できるようにしていたと述べている。

このキャンペーンで注目すべき点は、脅威アクターが被害者のネットワークに潜伏していた時間が長かったことである。そのため、オペレーターは詳細な偵察を行うことが可能となる、ビジネス上の連絡先や投資に関する潜在的な機密情報を、何の問題もなく流出させることができたとされる。ある金融機関では、2020年12月から2021年8月の間に250日近く、また、ある製造業では175日近く、攻撃者がネットワークを監視していた。

ターゲットへの侵入に使われた、最初のアクセス・ベクターは不明なままだが、Antlion が Web アプリケーションの欠陥を利用して足場を固め、xPack カスタム・バックドアをドロップした疑いがある。つまり、システム・コマンドを実行し、後続のマルウェアとツールをドロップし、データを盗み出すためのステージングが行われている。

さらに、C++ ベースのカスタム・ローダーが用いられ、AnyDesk などの市販ツールと LotL (Living off the Land) 技術を組み合わせて、リモート・アクセス/認証情報の取得、任意のコマンドの実行などが行われている。

研究者たちは、「Antlion は、2011年ころからスパイ活動を行っていたと考えられるが、今回の活動は、登場から 10年以上が経過しても、依然として注意すべきアクターであることを示している」と述べている。

その一方では、Tropic Trooper や Earth Lusca と呼ばれる脅威アクターたちが、台湾の政府/医療/交通/教育に関する組織などを標的に、悪意のサイバー活動を行っていることが明らかになった。

Antlion ですが、半年以上も潜伏していたとは驚きです。それを可能にしていた Living off the Land 技術ですが、Deep Instinct の記事「Living Off The Land マルウェアの回避テクニック 第 4 回」では、「Living Off The Land (LOTL)と呼ばれる手法は、マルウェアが既存のリソースを利用して溶け込み、アンチウィルスやサンドボックスの解析による検出を回避するためのもの」と解説しています。いわゆるスティルス性ですが、隠れる側と見つけ出す側の追いかけっこが続くのでしょう。

%d bloggers like this: