中国 APT41 動きを捕捉:米国州政府のネットワークをゼロデイ脆弱性で狙っている

U.S. State Governments Targeted by Chinese Hackers via Zero-Day in Agriculture Tool

2022/03/08 SecurityWeek — 中国政府に支援されていると思われる脅威グループが、ゼロデイ脆弱性などを悪用し、米国の州政府のネットワークに侵入していたことが明らかになった。サイバー・セキュリティの調査企業である Mandiant は、2021年5月に米国州政府のネットワークへの攻撃を調査するよう要請され、このキャンペーンに気づいたと、火曜日に公開したブログ記事で述べている。

同社による分析の結果、この攻撃は APT41/Barium/Winnti/Double Dragon/Wicked Panda といった名称で知られる、中国政府に支援される脅威グループにより行われた可能性が高いことが判明した。この活発に活動する脅威グループは、サイバー・スパイ活動と金銭的動機による攻撃を実施しており、その洗練されたツールとテクニックで知られている。

Mandiant は、このグループは 2021年5月〜2022年2月に、少なくとも6つの米国州政府組織のネットワークを侵害したことを確認している。キャンペーンの正確な目的は不明だが、攻撃者が政府をターゲットにして個人情報を盗んでいることから、諜報活動が示唆されている。

同社の調査により、新たな技術/マルウェア/回避方法/能力などが明らかになった。

Mandiant が観測した最初の2つの攻撃では、攻撃者はインターネットに公開されている独自の .NET Web アプリケーションを悪用している。あるケースでは、ネットワークから追い出された後にハッカーは、米国 18州の農務省が動物の健康管理に使用している、商用アプリケーションの USAHerds (Animal Health Emergency Reporting Diagnostic System) のゼロデイ脆弱性を悪用し、2週間後に舞い戻ってきた。この脅威アクターは、簡単に悪用できるゼロデイ欠陥を発見し、被害者のネットワークにアクセスできたようだ。

USAHerds の脆弱性 CVE-2021-44207 は、ハードコードされた認証情報の問題であり、2021年11月にパッチが適用されている。しかし、Mandiant の報告によると、2021年6月ころから APT41 に悪用されていた。Mandiant によると、CVE-2021-44207 は、少なくとも2つの米国政府組織に対する攻撃で悪用されているようだ。さらに最近の攻撃では、ハッカーは悪名高い Log4Shell の脆弱性も悪用しており、その存在が公表されたわずか数時間後に悪用を開始していた。

Mandiant は、USAHerds のセキュリティ・ホールは、Microsoft Exchange の脆弱性である CVE-2020-0688 と類似しており、この脆弱性も悪用されたことがあると述べている。

USAHerds のケースでは、アプリケーションのインスタンスごとの独自の値を使用するのではなく、すべてのインストールで共有される machineKey を悪用していた。

Mandiant は、「APT41 が USAHerds のマシンキーを取得すると、USAHerds が動作しているインターネット上の全サーバーが危険にさらされる。その結果として、さらなる被害者が発生する可能性がある」と述べている。

Mandiant が監視したキャンペーンでは、Dustpan (StealthVector by Trend Micro) という名前のマルウェアが配信され、それを使って Cobalt Strike Beacon バックドアが仕掛けられていた。また、このグループは、被害者の環境に応じてマルウェアをカスタマイズしていた。

同社の研究者は、APT41 が Command and Control (C&C) 通信とデータ流出のために、Cloudflare サービスの利用を大幅に増加させていたことにも注目している。
2020年に米国司法省は、米国をはじめとする 100社以上の企業を狙った攻撃に関与したとして、APT41 のメンバーとされる数名を告発したと発表している。このとき発表された告発内容は、同グループの抑止力にはなっていないようだ。

これまで、さまざまな産業を狙ったサイバー攻撃を紹介してきましたが、このブログで農業/畜産を取り扱うのは初めてのことだと思います。すべての産業および分野が、サイバー攻撃の標的になっていることを実感します。中国の APT に関しては、2021年10月6日の「中国の国家支援 APT41 グループ:高スティルス性マルウェアを大量に展開している」や、12月30日の「中国の APT ハッカーたちが Log4Shell を使って大規模な学術機関を攻撃」、2022年2月24日の「米国の防衛関連企業を狙う SockDetour バックドア:中国の APT27 と一致する戦術」などがあります。よろしければ、中国+APT で検索も、ご利用ください。

%d bloggers like this: