Iron Tiger ハッキング・グループは中国由来の APT27:Linux 版のカスタム・マルウェアを投入

Iron Tiger hackers create Linux version of their custom malware

2023/03/01 BleepingComputer — Iron Tiger こと APT27 ハッキング・グループは、カスタム・リモートアクセス・マルウェア SysUpdate の新しい Linux 版を用意し、企業で使用される広範なサービスを標的にしようとしている。Trend Micro の最新レポートによると、このハッカーは 2022年7月より Linux 版をテストし始めている。そして、2022年10月になると、複数のペイロードが野放し状態で活動し始めまた。


今回の新しいマルウェア亜種は、Asio ライブラリを用いて C++ で書かれており、その機能は Iron Tiger の Windows 版 SysUpdate と類似している。

Windows 以外のシステムに対しても、標的範囲を広げたいという脅威アクターの関心は、昨年の夏に SEKOIA と Trend Micro が、”rshell” という名の新しいバックドアを用いて、Linux/macOS を標的とする、APT27 の活動を報告したことで明らかになった。

APT27 の最新キャンペーン

Trend Micro が分析した SysUpdate キャンペーンにおいては、Windows/Linux のサンプルが有効なターゲットに対して展開されていた。

このキャンペーンの被害者には、フィリピンのギャンブル企業も含まれており、その攻撃では、被害者のブランドと類似したドメインで登録された、Command and Control サーバが利用されていた。

感染経路は不明だが、Trend Micro のアナリストは、チャット・アプリをルアーとして使用し、従業員を騙して初期感染ペイロードをダウンロードさせたと推測している。

SysUpdate に依存する過去のキャンペーンと比較して、1つの進化した点がある。それは、ロードプロセスであり、現在では正規にデジタル署名された Microsoft Resource Compiler の実行ファイル (rc.exe) が用いられ、シェルコードをロードするために rc.dll で DLL のサイドローディングを実行している。

このシェルコードは、SysUpdate の第1ステージをメモリ上にロードするため、AV による検出が困難となる。そして、必要なファイルをハードコードされたフォルダに移動させ、プロセスの権限に応じてレジストリの修正、または、サービスの作成により永続性を確立する。

第2ステージは、システムが次に再起動した後に起動するものであり、プライマリ SysUpdate ペイロードを解凍してロードする。

SysUpdate infection chain
SysUpdate infection chain (Trend Micro)

SysUpdate は、豊富な機能を持つリモート・アクセス・ツールであり、脅威アクターたちは、以下のような悪意の動作を実行できる。

  • Service manager (lists, starts, stops, and deletes services)
  • Screenshot grab
  • Process manager (browses and terminates processes)
  • Drive information retrieval
  • File manager (finds, deletes, renames, uploads, downloads a file, and browses a directory)
  • Command execution

Iron Tiger に関する Trend Micro のコメントは、「ターゲット組織が正規の Wazuh プラットフォームを使用していたことで、後のサイドロードの段階で Wazuh 署名の実行ファイルを使用して、被害者の環境に溶け込んでいた」というものだ。

Files used in the latest APT27 campaign
Files used in the latest APT27 campaign (Trend Micro)
SysUpdate の新しい Linux 版

SysUpdate の Linux 亜種は、ELF 実行ファイルであり、Windows 版と共通のネットワーク暗号化キーとファイル処理機能を有している。

そのバイナリは、マルウェアが次に実行すべきアクションを決定する、5つのパラメータをサポートしている。それらは、持続性の設定、プロセスのデーモン化、感染させたシステムの GUID (Globally Unique Identifier) 設定などである。

Parameters that can be passed onto the SysUpdate binary
Parameters that  can be passed onto the SysUpdate binary (Trend Micro)


このマルウェアは、スクリプトを “/usr/lib/systemd/system/” ディレクトリにコピーすることで永続性を確立しするが、この操作にはルートユーザー権限が必要となる。

Copied script's contents
Copied script’s contents (Trend Micro)

起動すると、以下の情報が C2サーバに送信される。

  • GUID (picked at random if its parameter wasn’t used previously)
  • Host name
  • Username
  • Local IP address and port used to send the request
  • Current PID
  • Kernel version and machine architecture
  • Current file path
  • Boolean (0 if it was launched with exactly one parameter, 1 otherwise)

Linux 版 SysUpdate の新機能として、DNS トンネリングが存在するが、これまでの Windows 版のサンプルでは1件だけが検出されているものだ。

SysUpdate は、”/etc/resolv.conf” ファイルから DNS 情報を取得し、DNS クエリの送受信で使用可能なデフォルト・システム DNS IP アドレスを取得する。それに失敗すると、8.8.8.8 にある Google の DNS サーバを使用する。

このシステムは、特定の IP アドレスの許可リスト に含まれない、すべてのトラフィックをブロックするように設定されているファイアウォールや、ネットワーク・セキュリティ・ツールを回避するためのものだ。

Trend Micro の予測によると、Linux 版 SysUpdate の開発に Asio ライブラリを選択したのは、そのマルチ・プラットフォームへの移植性が要因かもしれないとされている。したがって、このマルウェアの macOS 版も、近いうちに野放し状態で活動するかもしれない。

Iron Tiger こと APT27 ですが、2022/02/24 の「米国の防衛関連企業を狙う SockDetour バックドア:中国の APT27 と一致する戦術」に登場していました。中国との関連性については、「2021年11月ころから研究者たちは、TiltedTemple キャンペーンが APT27 として追跡されている、中国に支援された脅威グループの仕業であると疑っている」と記されています。カテゴリ APT を調べてみたら、以下のような記事が見つかりました。よろしければ、ご参照ください。

2023/02/24:News Corp への侵入:中国由来の APT
2023/01/24:DragonSpark という中国の APT
2022/12/15:MirrorFace という中国語圏の APT
2022/12/13:Citrix :中国の APT5 による攻撃

%d bloggers like this: