Chinese Hackers Using Never-Before-Seen Tactics for Critical Infrastructure Attacks
2023/06/26 TheHackerNews — 最近に発見され、Volt Typhoon と名付けられた、中国に支援される脅威アクターだが、遅くとも 2020年半ばから野放し状態で活動していたことが、CrowdStrike の調査により判明した。CrowdStrikeは、この脅威アクターを Vanguard Panda という名前で追跡している。同社は、「この脅威アクターは一貫して、イニシャル・アクセスのために ManageEngine Self-service Plus エクスプロイトを使用し、持続的なアクセスのためにカスタム Web シェルを使用し、横方向の移動のために Living-off-the-land (LotL) テクニックを使用していた」と説明している。
Bronze Silhouette とも呼ばれる Volt Typhoon は、中国発のサイバースパイ・グループであり、米国政府/防衛などの重要インフラ組織への、ネットワーク侵入オペレーションに関与している。
同グループの手口を分析したところ、運用上のセキュリティを重視し、また、広範なオープンソース・ツールを慎重に使用し、限られた数の被害者に対して、長期的な悪意の行為を実行していることが明らかになった。
さらにこのグループは、「持続性を高めるために Web シェルを好み、また、LOLBins (Living-Off-the-Land Binaries) を活動を短時間で切り上げることで、目的を達成していた」脅威グループであるという。
不特定の顧客を標的として失敗したインシデントで、この脅威アクターは Apache Tomcat サーバ上で実行される Zoho ManageEngine ADSelfService Plus サービスを標的とし、プロセスの列挙やネットワーク接続などに関連する、不審なコマンドの実行を引き起こしていた。
CrowdStrike は、「Vanguard Panda の特徴として挙げられるのは、コマンドの迅速な実行/ping を送信する特定の内部ホスト名や IP/マウントするリモート共有/WMI に使用するプレーンテキストの認証情報などであり、そこことから、標的の環境に精通していると思われる」と述べている。
Tomcat のアクセスログを詳しく調査したところ、”/html/promotion/selfsdp.jspx” への HTTP POST リクエストが複数発見された。これは、検知を回避するために正規の ID セキュリティ・ソリューションとして、カモフラージュされた Web シェルである。
この Web シェルは、前述のハンズオンによるキーボード操作の約半年前に導入されたようであり、標的ネットワークの広範囲が、事前に偵察されていたことを示している。
Vanguard Panda が ManageEngine 環境に侵入した方式は、まだ明らかにされていない。しかし全ての兆候は、深刻な認証バイパスの脆弱性 CVE-2021-40539 を悪用した、リモート・コード実行につながると示唆されている。
この脅威アクターは、フォレンジック痕跡を不明瞭にするために、アーティファクトを削除し、アクセスログを改ざんしたとも疑われる。しかし、このプロセスでは、攻撃の過程で生成された Java ソース・ファイルや、コンパイル済みクラス・ファイルを削除が不可能であり、多数の Web シェルやバックドアが発見されるという、重大なミスを生み出していた。
この攻撃で使用されたのは、外部サーバから取得されたと思われる JSP ファイルと、”tomcat-ant.jar” と呼ばれる補助的な JAR ファイルであり、”tomcat-websocket.jar” をバックドア化するように設計されていた。
このトロイの木馬化された “tomcat-websocket.jar” には、A/B/C と名付けられた3つの新しい Java クラスが取り付けられている。そのうちの A.class は、Base64 エンコードおよび AES 暗号化されたコマンドを受信する、もう1つの Web シェルとして機能する。
CrowdStrike は、「このインプラントはゼロデイ脆弱性を利用し、イニシャル・アクセス段階の後に選択された、価値の高いターゲットへの永続的なアクセスを可能にするために使用されていると、中程度の確信を持っている」と述べている。
Volt Typhoon というと、2023/05/24 の「Volt Typhoon という中国の APT:グアムの重要インフラへの攻撃を Microsoft が検知」が、鮮明な記憶として残っています。この記事で Microsoft は、「このキャンペーンで開発されているのは、将来における有事の際に、米国とアジア地域の重要通信インフラ妨害するシステムだ」と述べていました。また Volt Typhoon は、Fortinet の脆弱性 CVE-2023-27997 を悪用しているという報道もありました。ただし、この2つのインシデントにおける、関連性の有無は明らかにされていません。
IoT OT Security News 
You must be logged in to post a comment.