Chinese Hacker Group Earth Longzhi Resurfaces with Advanced Malware Tactics
2023/05/03 TheHackerNews — 中国の国家支援ハッカー集団が再登場し、台湾/タイ/フィリピン/フィジーなどの、政府/医療/テクノロジー/製造業を標的とする、新たなキャンペーンを展開している。この Earth Longzhi グループは、APT41 (別名 HOODOO/Winnti) のサブグループであり、半年以上も活動を停止していたが、Earth Baku/SparklingGoblin/GroupCC などのクラスターと重複した動きを見せている。Earth Longzhi は、2022年11月にサイバー・セキュリティ企業により検出され、東アジア/東南アジア/ウクライナなどの組織への攻撃が分析されている。
この脅威アクターの攻撃チェーンは、BEHINDER Web シェルを展開するためのエントリポイントとして、脆弱かつ公開されているアプリケーションを悪用し、そのアクセスを利用して CroxLoader という Cobalt Strike ローダーの亜種などを、追加のペイロードとしてドロップするものだ。
Trend Micro は、「最近になって発見された、このキャンペーンは、Windows Defender の実行型ファイルを悪用して、DLL サイドローディングを行うものだ。続いて、脆弱なドライバーである zamguard.sys を悪用する BYOVD 攻撃で、ホスト上にインストールされているセキュリティ製品を無効化する」と述べている。
Earth Longzhi が、BYOVD の手法を利用するのは、今回が初めてのことではない。過去においても、脆弱な RTCore64.sys ドライバーを悪用することで、セキュリティ製品の実行を制限するキャンペーンを行っている。
この SPHijacker という名のマルウェアは、目的を達成するために、対象となるアプリケーションを起動時に意図的にクラッシュさせる、”stack rumbling” と呼ばれる第2の手法も採用している。Trend Micro は、「この手法は、[Image File Execution Options] レジストリキーの、”MinimumStackCommitInBytes” 値を悪用する、サービス拒否攻撃の一種だ」と説明している。
同社は、「IFEO レジストリキーにより、特定のプロセスに関連付けられた MinimumStackCommitInBytes 値は、メインスレッドを初期化する際にコミットする、スタックの最小サイズを定義するために使用される。したがって、要求するスタック・サイズが過大な場合には、スタック・オーバーフロー例外が発生し、現在のプロセスが終了させられる」と付け加えている。
この双子のアプローチは、セキュリティ製品を損なうために用いられる、これまでに常識的と考えられてきた方法からは程遠いものである。2023年4月に Deep Instinct は、Dirty Vanity と名付けられた新たなコード・インジェクションの手法を詳述している。それは、Windows のリモート・フォーキング機構を悪用して、エンドポイント検出システムの目を眩ませるものだという。
さらに、このドライバーのペイロードは検出を回避するために、Windows の API ではなく、Microsoft Remote Procedure Call (RPC) を悪用し、カーネルレベルのサービスとしてインストールされる。
また、この攻撃では、Roxwrapper という DLL ベースのドロッパーが用いられている。それにより、BigpipeLoader というラベルが付いた Cobalt Strike ローダーや、Windows タスク・スケジューラを悪用して SYSTEM 権限で所定のペイロードを起動する、権限拡大ツール (dwm.exe) の配信も確認されている。
指定されたペイロードである “dllhost.exe” は、脅威アクター管理するサーバから、次の段階のマルウェアを取得するためのダウンローダーである。
この “dwm.exe” は、GitHub で公開されているオープンソースの PoC に基づいており、既存のプログラムからインスピレーションを得た脅威アクターが、マルウェアに磨きをかけていることが示唆される。
さらに Trend Micro は、ベトナム語/インドネシア語で書かれたオトリ文書を確認したと述べており、将来的には、この2カ国のユーザーが標的になる可能性も示唆している。
セキュリティ研究者である Ted Lee と Hara Hiroaki は、「依然として、Earth Longzhi の動きは活発であり、TTP (tactics, techniques, and procedures) を改善し続けている。サイバー犯罪者による、新たなステルス方式の開発は継続的に進められている、したがって、ユーザー組織は、警戒を怠らないようにする必要がある」と付け加えている。
中国から台湾/タイ/フィリピン/フィジーなどを標的とする、Earth Longzhi (APT41) に関するレポートが出たようです。正規のアプリケーションを悪用して、DLL サイドローディングを行うという、最近の流行りである厄介な侵害チェーンを用いています。最近では、2023/03/07 の「SYS01stealer という情報スティーラーを発見:Facebook ビジネス・アカウントなどが標的」という故事でも、この手法が紹介されています。
IoT OT Security News 
You must be logged in to post a comment.