Defense contractors hit by stealthy SockDetour Windows backdoor
2022/02/24 BleepingComputer — 米国の防衛関連企業のシステムで見つかった、SockDetour と名付けられた新しいカスタム・マルウェアは、侵害したネットワークへのアクセスを維持するための、バックアップ・バックドアとして使用されている。この悪意のペイロードは Unit 42 のセキュリティ研究者により発見され、2019年7月頃からワイルドに使用されていることから、その運営者は長い間バックドアを潜伏させていたと考えられる。
SockDetour のステルス性は、感染させた Windows サーバー上でネットワーク接続をハイジャックすることで、ファイルレス/ソケットレスで動作し、ホストおよびネットワークのレベルでの検出が、かなり困難になっていることで裏付けられる。
この接続ハイジャックは、Windows API コールの監視と計測に使用される、正規のMicrosoft Detours ライブラリ・パッケージを用いて行われる。Unit 42は、「このような実装により SockDetour は、プライマリ・バックドアが防御側によって検出/除去された場合のバックアップ・バックドアとして機能する」と説明している。
この攻撃では、脅威アクターは極めて特殊な配信サーバも使用しており、中小企業で使用されることが多い QNAP NAS デバイスを介して、これまで QLocker ランサムウェアに感染させていた。
2021年7月27日に研究者たちは、ある米国防衛関連企業の Windows サーバーへのマルウェア展開を初めて発見し、これをきっかけに、同じグループから同じバックドアで狙われている、他の3社の防衛関連機関を発見した。
研究者たちは、「Unit 42 のテレメトリーデータと収集したサンプルの分析から、SockDetour の背後にいる脅威アクターたちはツールを使用して、米国に拠点を置く防衛関連企業を標的としていると考えられる。Unit 42 は、このキャンペーンにより、少なくとも4社防衛関連業者が標的とされ、少なくとも1社が危険にさらされたことを示す証拠を持っている」と明らかにしている。
中国とのつながり
SockDetour バックドアは、Unit 42 が TiltedTemple として追跡している APT 活動クラスターによる攻撃で使用されており、過去には ManageEngine ADSelfService Plus (CVE-2021-40539) や、ServiceDesk Plus (CVE-2021-44077) などの、Zoho製品において複数の脆弱性を悪用する攻撃と関連していた。
Unit 42 は SockDetour マルウェアを、特定のハッカー・グループによるものとは断定していないが、2021年11月ころから研究者たちは、TiltedTemple キャンペーンが APT27 として追跡されている、中国に支援された脅威グループの仕業であると疑っている。
このような部分的な帰属という見方は、これまでの APT27 の活動と一致する戦術と悪意のツール、および、同じ範囲の産業部門 (防衛/テクノロジー/エネルギー/航空宇宙/政府/製造業など) をサイバースパイの標的としている類似性に基づくものだ。Zoho の脆弱性にフォーカスした、TiltedTemple による3種類のキャンペーンは 2021年を通じて実行され、世界中の重要インフラ機関のネットワークに、以下の手口で侵入している。
- 2021年8月上旬〜9月中旬:ADSelfServiceのゼロデイ・エクスプロイトを使用。
- 2021年10月下旬まで:AdSelfService の n-day エクスプロイトを使用。
- 2021年10月25日から:ServiceDesk を使用。
最近の中国からの攻撃としては、2021年12月の「中国の APT ハッカーたちが Log4Shell を使って大規模な学術機関を攻撃」や、2022年2月の「Wall Street Journal にサイバー攻撃が発生:中国への疑惑と 米国への反発」、「中国人ハッカーが台湾に対してサプライチェーン攻撃:主な標的は金融機関」などがあります。また、昨日には「バックドア Bvp47 が解明された:NSA/Equation Group との関連性を疑う中国」という、普段とは逆方向の出来事に関するトピックもありました。
IoT OT Security News 