ShadowPad ハッカー集団:アジア各国の政府組織をターゲットにしている

ShadowPad-Associated Hackers Targeted Asian Governments

2022/09/13 InfoSecurity — リモートアクセス型トロイの木馬 (RAT) である ShadowPad だが、以前から関連していた脅威グループが新たなツールセットを採用し、アジア各国の政府機関や国営企業に対してキャンペーンを展開している。 このニュースは、9月13日の未明に Symantec の Threat Hunter Team が発表した、脅威に関する新たなアドバイザリがソースとなっている。

このアドバイザリによると、この攻撃は 2021年初頭から行われており、情報の収集に重点を置く活動と示唆されている。


今回の攻撃に使用されたツールだが、脅威者は複数の正規ソフトウェア・パッケージを活用し、DLL サイド・ローディングと呼ばれる手法を用いて、マルウェアのペイロードをロードしているようが。

この攻撃方法では、正規の DLL が存在すると予想されるディレクトリに、悪意のDLL が配置される。その後に攻撃者は、正規のアプリケーションを実行し、そのアプリケーションがペイロードをロードして実行する。

Symantec によると、これらの攻撃を仕掛けた脅威アクターたちは、Windows XP の正規のシステム・ファイルを用いるが、それに加えて、セキュリティ・ソフトウェア/グラフィック・ソフトウェア/Web ブラウザの旧バージョンなどを含む複数のソフトウェア・パッケージを、1回の攻撃で使用することが多いとのことだ。

セキュリティの専門家たちは、「旧バージョンを使用する理由は、それらのソフトウェアの最新バージョンでは、サイドローディングに対する緩和策が組み込まれているからだ」と説明している。

Symantec によると、バックドアへのアクセスに成功した攻撃者は、Mimikatz と ProcDump を用いて認証情報を盗み出しているようだ。その後に、さまざまなネットワークス・キャンツールを用いて、横方向の移動を容易にしていくとされる。

このアドバイザリには、「攻撃者は、Active Directory のデータベースやログファイルにアクセスするために、Ntdsutil などのツールを使って Active Directory サーバのスナップショットをマウントしている。また、Dnscmd コマンドライン・ツールも、ネットワーク・ゾーン情報を列挙するために使用されている」と述べられている。

Symantec は、一連の攻撃からシステムを保護するために、侵害の指標を文書化している。それらは、アドバイザリの原文で確認できる。

この数カ月において、アジアをターゲットにしたハッキング・キャンペーンが多発している。6月には Kaspersky が、アジア各国において、パッチ未適用の Microsoft Exchange サーバを標的とする攻撃キャンペーンを発見している。

アジアをターゲットにする APT であり、ネットワーク上の古い Windows やブラウザなどから侵入し、Active Directory のデータベースやログファイルにアクセスする戦略のようです。タイトルには、アジアの政府組織と記されていますが、先日の日本政府に対する攻撃は Killnet の仕業とされているので、それとは無関係なキャンペーンが展開されているのでしょう。

%d bloggers like this: