APT40 が利用する ScanBox：中国に関連する大規模スパイ・キャンペーンのコア？

China-linked APT40 used ScanBox Framework in a long-running espionage campaign

2022/08/31 SecurityAffairs — Proofpoint の Threat Research Team が、中国とつながりのある脅威アクターが仕組んだ、世界の事業体を標的とするサイバー・スパイ・キャンペーンを発見した。このキャンペーンは、オーストラリア／マレーシア／ヨーロッパの事業体および、南シナ海で活動する組織を対象としていた。そして Proofpoint は、PwC の脅威インテリジェンス研究者たちの協力を得ながら、このキャンペーンを分析した。

このキャンペーンは、2022年4月〜6月に活発に実施されたものだ。その脅威の主体は、オーストラリアの不正なニュース Web サイトの訪問者をターゲットにし、ScanBox 悪用フレームワークを配信していることが確認されている。研究者たちは、「このキャンペーンは、TA423／Red Ladonとして追跡されている、中国に関連する APT グループによるものだ」と考えている。

TA423 とは、2013年から活動している中国系のサイバー・スパイ・グループであり、アジア太平洋地域の政治的な問題に対して、また、特に南シナ海での問題にフォーカスしている。同グループは、長年にわたり、防衛関連の企業／メーカー／大学／政府機関や、外交紛争に関わる法律事務所、オーストラリア周辺／南シナ海に関わる外国企業を攻撃してきた。   

専門家たちは、「Proofpoint と PwC の共同作業により、連邦政府／エネルギー／製造業などを標的とした最近のキャンペーンは、TA423／Red Ladonによる活動である可能性が見えてきた。この脅威アクターと重なるアクティビティは、政府の起訴状で APT40 および Leviathan として、公的に言及されている」とレポートに記している。

2021年6月に米国司法省 (DoJ) は、2011年〜2018年に、世界中の政府機関／民間企業／大学などをハッキングしたとして、中国と連携したサイバー・スパイ・グループAPT40 (別名：TEMP.Periscope／TEMP.Jumper／Leviathan) のメンバー４人を起訴している。

今回の ScanBox 関連のフィッシング・キャンペーンは、2022年4月〜2022年6月に行われ、主にオーストラリアの連邦政府機関／ニュースメディア企業と、南シナ海で風力タービンのメンテナンスを行う、グローバル重工業メーカーを標的としている。

フィッシング・メッセージは、脅威アクターが作成したと思われる Gmail／Outlook のメールアドレスから発信され、病気休暇／ユーザー調査／協力要請といった、各種の件名が利用されていた。攻撃者は、架空のメディア出版物 Australian Morning News の従業員を装い、メッセージで受信者を騙して、ScanBox フレームワークを提供する不正ドメインへのリンクにアクセスさせようとした。

研究者たちは、「電子メールで提供される悪意の URL は、すべてが同じページへ向けたリダイレクションを持ち、同じ悪意のペイロードを提供するが、ターゲットごとにカスタマイズされた値も使用されているようだ。ある例では、URI 拡張子として “?p=23-<##>” の付加が確認されている。”p=23″ は、ユーザーがリダイレクトされるランディング・ページのページ値を指定し、それに続く数字列である、”?p=23-11″ の “11” の部分は、各受信者の固有識別子であると思われる。Proofpoint は、2022年3月に発見された、TA423 の以前のキャンペーンでも、カスタマイズされた URL と、ターゲットごとに異なる URL リダイレクト先を観測していた」と解説している。

この ScanBox は、JavaScript コードを１つのブロックとして、または、プラグイン・ベースのモジュラー・アーキテクチャとして配信できる。ScanBox は、被害者の情報を収集するために使用され、次の段階のためのペイロードを、ターゲットに配信することも可能だ。

さらに ScanBox は、攻撃の一環として複数のプラグインを配信できる。ターゲットに配信される最後のプラグインは、対象となるマシン上での、Kaspersky Internet Security (KIS) インストールの有無をチェックするものだ。

また、研究者たちは、このキャンペーンを、RTF テンプレート・インジェクションを活用した、TA423 APT グループが過去に実施したキャンペーンと関連付けた。RTF テンプレート・インジェクションの URL からは、兵器化された Microsoft Word ドキュメントが送り返されることが確認されている。

研究者たちのレポートには、「RTF テンプレート・インジェクションの URL は、マクロを含んだ Microsoft Word ドキュメントを送り返す。このマクロには、文字列として格納された、一連のハードコードされた 16進数のバイト列が含まれている。これらの文字列は、マクロにより再結合され、PE と DLL の２つのファイルに変換され、被害者のホストに保存され、実行される。また、このマクロは、最終的にインストールされるペイロードが使用すると思われる、UpdateConfig 値を返すように見える、URL リクエストも行う」と付け加えている。

Proofpoint の研究者たちは、この最新の ScanBox キャンペーンについて、2021年3月以降に APT40 が行った、大規模なスパイ作戦の一部であると結論づけている。

中国政府に支援されるハッキング・グループとして、いちばん目立っているのは APT31 だと思います。このブログの中を検索しましたが、APT40 が関連している記事としては、2022年7月19日の「米国と同盟国が Microsoft Exchange 攻撃に関して正式に中国を非難」のみでした。この記事には、「中国の MSS (Ministry of State Security) に属する悪意の脅威アクターが、2021年3月上旬に公開された Microsoft Exchange Server ゼロデイ脆弱性を利用した、サイバースパイ活動を行った」と記されていました。よろしければ、カテゴリ APT も、ご利用ください。