Chinese APT ‘Earth Krahang’ Compromises 48 Gov’t Orgs on 5 Continents
2024/03/19 DarkReading — これまで正体不明だった、中国のスパイ・グループが特定された。このフループは、標準的な TTP (Tactics/Techniques/Procedures) を用いながらも、23カ国の少なくとも 70組織への侵入に成功したが、そこには政府機関の 48組織も含まれていたという。Earth Krahang は、高レベルの軍事 APT ではないようだ。Trend Micro の研究者たちは新たなレポートの中で、中国共産党 (CCP) が契約した、民間のハッカー雇用オペレーションである、iSoon の一部である可能性を示唆している。
彼らは、このようなサイバー犯罪に相応しいような、精巧なマルウェアやステルス戦術を採用するのではなく、オープンソースで十分に文書化されたツールの武器庫を主に使用し、さらにはワンデイ脆弱性や標準的なソーシャル・エンジニアリングを使って標的を倒している。そして、被害者リストを眺めてみると、Volt Typhoon/BlackTech/Mustang Panda などに匹敵するほどの名前が挙げられている。
このグループは、35カ国にまたがる 116以上の組織を標的とし、少なくとも 70件の侵害を成功させている。あるケースでは、11 の政府省庁に関連する、多数の組織への侵入に成功しているが、その被害者は教育/通信/金融/IT/スポーツなどの多岐にわたる。被害者が最も集中しているのはアジアだが、アメリカ大陸 (メキシコ/ブラジル/パラグアイ) や、ヨーロッパ (イギリス/ハンガリー)、そしてアフリカ (エジプト/南アフリカ) でも被害が発生している。
Critical Start の Senior Manager of Cyber Threat Research である Callie Guenther は、「政府機関を侵害するために、オープンソースのツールが使用されたことは注目に値するが、驚くべきことではない。多くのケースにおいて、政府機関は広大で複雑な IT インフラを有しているため、セキュリティ対策に一貫性がなく、一般的なオープンソース・ツールも含めて、あらゆる種類の攻撃に対して、防御することが難しくなっている」と述べている。
Earth Krahang の侵入戦術
成功した中国の APT の中には、ユニークなゼロデイ脆弱性を探し出すような、優れた複雑な戦術を見せつける者もいる。しかし Earth Krahang は、どちらかというと何でも屋だ。
その活動は、政府機関に接続されているサーバなどの、彼らにとって関心のある一般向けのサーバを、Web 上でスキャンすることから始まる。活用できる脆弱性をチェックするために用いられる、既存のオープンソース・ツールは、sqlmap/nuclei/xray/vscan/pocsuite/wordpressscan などである。
特に、Earth Krahang が好んで餌食にする2つのバグは、リアルタイム・コラボレーション・サーバ Openfire に存在する、コマンド実行の脆弱性 CVE-2023-32315 (CVSS:7.5) と、Oracle E-Business Suite の Web Applications Desktop Integrator に存在する、コマンド実行の脆弱性 CVE-2022-21587 (CVSS:9.8) である。
このグループは、公開されたサーバを確保した後に、さらなるオープンソース・ソフトウェアを用いて、機密ファイルやパスワード (特に電子メール用) などをスキャンする。その対象には、メンテナンスされていないサーバを指す可能性のあるサブドメインなどの、有用なリソースも含まれるという。
また、ブルートフォース攻撃も、さまざまなケースで採用している。たとえば、一般的なパスワードのリストを使って、Web 上の Outlook 経由で、Microsoft Exchange サーバをクラックするなどの戦術を用いるという。
Trend Micro の VP of Threat Intelligence である Jon Clay は、「オープンソースを検知することは簡単なように思えるだろうが、検知すべき TTP が数多く存在するという現実がある。また、この種の敵対者は、防御回避の戦術を用いるため、防御が妨げられることもある」と指摘されている。
Earth Krahang による情報窃取とステルス戦術
一連の侵害が、すべて完了するまでの間に、攻撃者は2つの主要なアクションを実行できる。それは、侵害したサーバにバックドアをドロップすること、そして、電子メール・アカウントを乗っ取ることだ。
Jon Clay は、「特に、後者は有用である。攻撃を支援するために、正規のシステムと電子メール・アカウントを使用する点に、特に興味を覚える。なぜなら、この攻撃者は正規のアカウントを使用して、被害者に自分が安全であると思い込ませるからである」と説明している。
価値の高い連絡先のリストと、本物のアカウントを使用することで、このグループは正当性を装う。そして、”マレーシア国防省回覧” などの請求書に適合する件名や、悪意の URL や添付ファイルなどを取り込んだ、電子メールを送信している。同様の件名としては、”パラグアイ外務大臣のトルクメニスタン訪問について.exe” などがあるという。
電子メール経由であれ、Web サーバの脆弱性経由であれ、Earth Krahang が狙いを定めたターゲットは、最終的に1つまたは複数のバックドアをダウンロードする。
このグループは、2022年初頭の攻撃において “RESHELL” で情報を収集し、悪意のファイルをドロップし、かなり単純なカスタム・メイドの .NET ツールを用いて、AES 暗号化された C2 通信でシステム・コマンドを実行していた。
また、2023年には、”XDealer” へと移行し、キーロギング/スクリーンショット/クリップボードから、情報を窃取するための機能を備えていた。XDealer は、Windows/Linux に対応していることに加え、そのローダーの一部に有効なコード署名証明書が含まれている点でも注目されている。これらの証明書 (正規の人材会社とゲーム開発会社が発行) についての、Trend Micro の推測は、新しいシステムにマルウェアをダウンロードする際の、偽装のために盗まれた可能性が高いというものだ。
さらに Earth Krahang は、PlugX/ShadowPad などの従来からの脅威も利用している。また、別のオープンソース・ツールである RedGuard と、Cobalt Strike を組み合わせることで、サイバーセキュリティ・アナリストによる C2 インフラの特定を妨げている。
Guenther は、「この脅威アクターの手口は、他と比べて単純であるため、標準的なベスト・プラクティス用いて、彼らの TTP から身を守ることが推奨される。ユーザー組織は、スピアフィッシングを防御するために、電子メールのセキュリティを強化し、既知の脆弱性から保護するために、システムを定期的に更新してパッチを適用する必要がある。それに加えて、ネットワーク内での攻撃者の拡散を制限するために、ネットワーク・セグメンテーションを採用する必要もある。異常なネットワーク・トラフィックやアクセス・パターンを監視することも、このようなキャンペーンの早期発見に役立つ」と指摘している。
中国の APT である Earth Krahang ですが、Volt Typhoon/BlackTech/Mustang Panda などと肩を並べる存在だと指摘される、かなりの強敵という感じですね。最近ですが、LOLbin というカテゴリを作りました。Living off the Land Binary の略であり、標的環境内の正規ツールを用いて、侵害後に活動するというタイプの攻撃を指します。この記事では、その件についての記載がありませんが、今年のトレンドになりそうな気もします。よろしければ、カテゴリ APT も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.