China-linked APT40 used ScanBox Framework in a long-running espionage campaign
2022/08/31 SecurityAffairs — Proofpoint の Threat Research Team が、中国とつながりのある脅威アクターが仕組んだ、世界の事業体を標的とするサイバー・スパイ・キャンペーンを発見した。このキャンペーンは、オーストラリア/マレーシア/ヨーロッパの事業体および、南シナ海で活動する組織を対象としていた。そして Proofpoint は、PwC の脅威インテリジェンス研究者たちの協力を得ながら、このキャンペーンを分析した。
このキャンペーンは、2022年4月〜6月に活発に実施されたものだ。その脅威の主体は、オーストラリアの不正なニュース Web サイトの訪問者をターゲットにし、ScanBox 悪用フレームワークを配信していることが確認されている。研究者たちは、「このキャンペーンは、TA423/Red Ladonとして追跡されている、中国に関連する APT グループによるものだ」と考えている。
TA423 とは、2013年から活動している中国系のサイバー・スパイ・グループであり、アジア太平洋地域の政治的な問題に対して、また、特に南シナ海での問題にフォーカスしている。同グループは、長年にわたり、防衛関連の企業/メーカー/大学/政府機関や、外交紛争に関わる法律事務所、オーストラリア周辺/南シナ海に関わる外国企業を攻撃してきた。

専門家たちは、「Proofpoint と PwC の共同作業により、連邦政府/エネルギー/製造業などを標的とした最近のキャンペーンは、TA423/Red Ladonによる活動である可能性が見えてきた。この脅威アクターと重なるアクティビティは、政府の起訴状で APT40 および Leviathan として、公的に言及されている」とレポートに記している。
2021年6月に米国司法省 (DoJ) は、2011年〜2018年に、世界中の政府機関/民間企業/大学などをハッキングしたとして、中国と連携したサイバー・スパイ・グループAPT40 (別名:TEMP.Periscope/TEMP.Jumper/Leviathan) のメンバー4人を起訴している。
今回の ScanBox 関連のフィッシング・キャンペーンは、2022年4月〜2022年6月に行われ、主にオーストラリアの連邦政府機関/ニュースメディア企業と、南シナ海で風力タービンのメンテナンスを行う、グローバル重工業メーカーを標的としている。
フィッシング・メッセージは、脅威アクターが作成したと思われる Gmail/Outlook のメールアドレスから発信され、病気休暇/ユーザー調査/協力要請といった、各種の件名が利用されていた。攻撃者は、架空のメディア出版物 Australian Morning News の従業員を装い、メッセージで受信者を騙して、ScanBox フレームワークを提供する不正ドメインへのリンクにアクセスさせようとした。
研究者たちは、「電子メールで提供される悪意の URL は、すべてが同じページへ向けたリダイレクションを持ち、同じ悪意のペイロードを提供するが、ターゲットごとにカスタマイズされた値も使用されているようだ。ある例では、URI 拡張子として “?p=23-<##>” の付加が確認されている。”p=23″ は、ユーザーがリダイレクトされるランディング・ページのページ値を指定し、それに続く数字列である、”?p=23-11″ の “11” の部分は、各受信者の固有識別子であると思われる。Proofpoint は、2022年3月に発見された、TA423 の以前のキャンペーンでも、カスタマイズされた URL と、ターゲットごとに異なる URL リダイレクト先を観測していた」と解説している。
この ScanBox は、JavaScript コードを1つのブロックとして、または、プラグイン・ベースのモジュラー・アーキテクチャとして配信できる。ScanBox は、被害者の情報を収集するために使用され、次の段階のためのペイロードを、ターゲットに配信することも可能だ。
さらに ScanBox は、攻撃の一環として複数のプラグインを配信できる。ターゲットに配信される最後のプラグインは、対象となるマシン上での、Kaspersky Internet Security (KIS) インストールの有無をチェックするものだ。
また、研究者たちは、このキャンペーンを、RTF テンプレート・インジェクションを活用した、TA423 APT グループが過去に実施したキャンペーンと関連付けた。RTF テンプレート・インジェクションの URL からは、兵器化された Microsoft Word ドキュメントが送り返されることが確認されている。
研究者たちのレポートには、「RTF テンプレート・インジェクションの URL は、マクロを含んだ Microsoft Word ドキュメントを送り返す。このマクロには、文字列として格納された、一連のハードコードされた 16進数のバイト列が含まれている。これらの文字列は、マクロにより再結合され、PE と DLL の2つのファイルに変換され、被害者のホストに保存され、実行される。また、このマクロは、最終的にインストールされるペイロードが使用すると思われる、UpdateConfig 値を返すように見える、URL リクエストも行う」と付け加えている。
Proofpoint の研究者たちは、この最新の ScanBox キャンペーンについて、2021年3月以降に APT40 が行った、大規模なスパイ作戦の一部であると結論づけている。
中国政府に支援されるハッキング・グループとして、いちばん目立っているのは APT31 だと思います。このブログの中を検索しましたが、APT40 が関連している記事としては、2022年7月19日の「米国と同盟国が Microsoft Exchange 攻撃に関して正式に中国を非難」のみでした。この記事には、「中国の MSS (Ministry of State Security) に属する悪意の脅威アクターが、2021年3月上旬に公開された Microsoft Exchange Server ゼロデイ脆弱性を利用した、サイバースパイ活動を行った」と記されていました。よろしければ、カテゴリ APT も、ご利用ください。

You must be logged in to post a comment.