Cobalt Strike ローダーの新種 Symatic:中国 APT41 と持続性のあるバックドア展開

New hacking group uses custom ‘Symatic’ Cobalt Strike loaders

2022/11/09 BleepingComputer — これまで知られていなかった Earth Longzhi という中国の APT (Advanced Persistent Threat) ハッキング集団が、東アジア/東南アジア/ウクライナの組織を狙っている。この脅威アクターは、2020年から活動しており、カスタム・バージョンの Cobalt Strike ローダーを用いて、被害者のシステムに持続性のあるバックドアを仕込んでいる。Trend Micro の最新レポートによると、Earth Longzhi の TTP は Earth Baku と同様のものであり、この2つのグループは、国家が支援する APT41 の下部組織であると考えられる。

APT41 sub-groups diagram (Trend Micro)


Earth Longzhi の旧来のキャンペーン

Trend Micro のレポートでは、Earth Longzhi が実施した2つのキャンペーンが示されているが、最初のキャンペーンは 2020年5月〜2021年2月に発生したものだ。この間において Earth Longzhi は、台湾のインフラ企業/中国の銀行/台湾の政府組織などを攻撃している。

Timeline of first campaign
Timeline of first campaign (Trend Micro)

このキャンペーンで Earth Longzhi は、以下の機能を含む高度なアンチ・ディテクション・システムを備えた、カスタム Cobalt Strike ローダー “Symatic” を使用した。

  • ntdll.dll から API フックを削除し、生のファイル・コンテンツを取得し、メモリ内のntdll イメージをコピーで置き換え、セキュリティ・ツールによる監視を回避する。
  • プロセス・インジェクションのための、新しいプロセスを生成し、その親プロセスを偽装することで、チェーンを難読化する。
  • 新しく作成されたプロセスに、復号化されたペイロードを注入する。

Earth Longzhi は、一般に公開されている各種のツールを、1つのパッケージにまとめたオールインワン・ハッキング・ツールを使用している。

このツールは、Socks5 プロキシのオープン/MS SQL サーバのパスワードスキャン/Windows ファイル保護の無効化/ファイル・タイムスタンプの変更/ポート・スキャン/新規プロセスの起動/RID スプーフィング/ドライブの列挙、SQLExecDirect を用いたコマンド実行などを可能にする。

2022年のキャンペーン

Trenrd Micro 観測した2回目のキャンペーンは、2021年8月〜2022年6月に実施され、フィリピンの保険会社/都市開発会社や、タイと台湾の航空会社などがターゲットにされた。

Timeline of the second campaign
Timeline of the second campaign (Trend Micro)

一連の攻撃 (上記) で Earth Longzhi は、各種の復号化アルゴリズム、および、マルチスレッドによる性能、デコイ文書による効果といった、追加機能を提供する新たなカスタム Cobalt Strike ローダーのセットを展開した。

Different loaders used in the recent campaign
Different loaders used in the recent campaign (Trend Micro)


Cobalt Strike ペイロードをメモリ内で実行せるための、新しく作成されたプロセスへの注入方式は、Symatic の場合と同じであり、検出のリスクを回避するためにディスクには触れない。

この BigpipeLoader の亜種は、ペイロードのロードチェーンが大きく異なり、正規アプリ (wusa.exe) 上で DLL サイドロード (WTSAPI32.dll) を用いてローダー (chrome.inf) を実行し、メモリ上に Cobalt Strike を注入するというものだ。

Latest loader variant used in Earth Longzhi attacks
Latest loader variant used in Earth Longzhi attacks (Trend Micro)

Cobalt Strike がターゲット上で実行された後に、カスタム・バージョンの Mimikatz を用いた認証情報の窃取と、PrintNighmare/PrintSpoofer 脆弱性を悪用した特権昇格が行われる。

ホスト上のセキュリティ製品を無効にするために、Earth Longzhi は ProcBurner という名のツールを使用し、脆弱なドライバ (RTCore64.sys) を悪用して、必要となるカーネル・オブジェクトを変更する。

Trend Micro の説明によると、「ProcBurner は、特定の実行中プロセスを終了させるように設計されている。簡単に言うと、脆弱性のある RTCore64.sys を使ってカーネル空間のアクセス許可を強制的にパッチすることで、ターゲット・プロセスの保護機能を変更しようとする」というものになる。

ProcBurner functional diagram
ProcBurner functional diagram (Trend Micro)

注目すべき点は、同じ MSI Afterburner ドライバが、BlackByte ランサムウェアのBYOVD (Bring Your Own Vulnerable Drive) 攻撃でも使用され、その悪用により 1000以上のセキュリティ保護がバイパスされていることだ。

ProcBurner は、バージョンに応じたカーネルパッチの適用プロセスが必要とされるため、まず OS が検出される。このツールは、以下のリリースに対応している。

  • Windows 7 SP1
  • Windows Server 2008 R2 SP1
  • Windows 8.1
  • Windows Server 2012 R2
  • Windows 10 1607, 1809, 20H2, 21H1
  • Windows Server 2018 1809
  • Windows 11 21H2, 22449, 22523, 22557

2つ目の保護無効化ツール AVBurner も、脆弱なドライバを悪用することで、カーネル・コールバック・ルーチンを削除し、セキュリティ製品の登録を解除していく。

AVBurner funtional diagram
AVBurner functional diagram (Trend Micro)

コモディティ+カスタム

APT グループ全般にみられる傾向だが、痕跡を不明瞭にして帰属を困難にするために、コモディティ・マルウェアや Cobalt Strike のような攻撃フレームワークへの依存度が高まっている。

しかし、高度なハッカーは、ペイロードのステルス・ロードや、セキュリティ・ソフトウェアのバイパスを実現するために、カスタム・ツールを開発/使用している。

このような戦術により Earth Longzhi は、少なくとも2年半という期間において発見されなかったことが判明したが、今回の Trend Micro による暴露を受けて、新たな戦術に切り替える可能性が高いと思われる。

Earth Longzhi や Earth Baku のようなマルウェアが見つかると、いったい、どれだけの APT があるのかと、暗澹たる気分にさせられてしまいます。Cobalt Strike や Mimikatz などのクラック・バージョンを使いこなし、BYOVD (Bring Your Own Vulnerable Drive) 攻撃を仕掛けるという、かなりのレベルの敵対者と言えるでしょう。よろしければ、カテゴリ APT も、ご利用ください。

%d bloggers like this: