Chinese hackers target government agencies and defense orgs
2022/11/15 BleepingComputer — Billbug (a.k.a. Thrip/Lotus Blossom/Spring Dragon) として追跡されているサイバースパイ活動家が、アジア諸国の認証局/政府機関/防衛組織を標的としたキャンペーンを展開している。最新の攻撃は3月ころから観測されているが、この脅威アクターは、10年以上前からステルスで活動している、中国の国家支援グループだと思われる。Billbug の活動は、過去6年間 [1, 2, 3] にわたり、複数のサイバー・セキュリティ企業により記録されている。
Symantec のセキュリティ研究者たちは、今日のレポートで、「2018年から追跡している Billbug は、認証局企業も標的にしているが、署名付きのマルウェアを展開することで、HTTPS トラフィックの検出や解読をより困難にしている」と述べている。
新しいキャンペーンと古いツール
ターゲット・ネットワークに対する、Billbug のイニシャル・アクセス方法を、Symantec は特定できていない。しかし、既知の脆弱性を持つパブリックなアプリを悪用することで、イニシャル・アクセスの獲得が可能になる証拠を確認している。
Billbug は、これまでのキャンペーンと同様に、ターゲット・システム上において、既存のツール/一般公開されているユーティリティ/カスタム・マルウェアなどを組み合わせている。その中には、以下のようなものがある。
- AdFind
- Winmail
- WinRAR
- Ping
- Tracert
- Route
- NBTscan
- Certutil
- Port Scanner
これらのツールを悪用するハッカーたちは、日常のありふれた行動の中に紛れ込み、疑わしいログを残さず、セキュリティ・ツールのアラームを回避し、原因の究明を困難にしていく。
最近の Billbug の活動では、オープンソース・ツールである Stowaway が使用されている。これは、ペンテスターがネットワーク・アクセス制限を回避するための、Golang ベースのマルチレベル・プロキシツールだが、使用されることは稀であるという。
最近の攻撃と Billbug を、Symantec が関連付けることができたのは、以前の Billbug 活動で見られた、2つのカスタム・バックドア Hannotog/Sagerunex が使用されていたからだ。
Hannotog バックドアに含まれる機能としては、すべてのトラフィックを有効化するためのファイアウォール設定の変更/侵入したマシンでの持続性の確立/暗号化データのアップロード/CMD コマンドの実行/デバイスへのファイルのダウンロードなどがある。
Sagerunex は Hannotog によりドロップされ、explorer.exe プロセスに自身を注入する。そして、AES アルゴリズム (256 bit) で暗号化された、ローカルの一時ファイルにログを書き込む。
バックドアの設定/状態もローカルに保存され、RC4 で暗号化され両方のキーが、マルウェアにハードコードされている。
Sagerunex は、コマンドサーバに HTTPSで接続し、アクティブなプロキシのリストやファイルを送信し、オペレータからペイロードやシェルコマンドを受信する。さらに、”runexe” や “rundll” を使ってプログラムや DLL を実行していく。
これまでの数年にわたり、Billbug は最小限の変更で、同一のカスタム・バックドアを使用し続けている。
11月12日に「中国スパイウェアとウイグル人:国家に支援される APT15 が悪意のアプリを配布」という記事をポストしたばかりですが、中国 APT の積極的な活動が続いています。 最近の興味深い記事として、10月6日の「米政府の勧告:中国の国家支援ハッカーが好んで悪用する脆弱性 Top-20 とは?」と、10月14日の「中国によるサイバー攻撃:過去 10年間にわたる APT の実態を整理する」がありますので、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.