中国由来の APT41 が台湾政府を侵害:Microsoft の古い脆弱性 CVE-2018-0824 を悪用

China-linked APT41 breached Taiwanese research institute

2024/08/05 SecurityAffairs — 中国由来のグループが、台湾の政府系研究機関を侵害したと、Cisco Talos の研究者たちが報告している。彼らは、この攻撃が APT41 グループによるものだと、中程度の信頼性を示している。このキャンペーンは、早くとも 2023年7月に開始されたものであり、ShadowPad マルウェアや Cobalt Strike に加えて、各種のポスト・エクスプロイト・ツールが、脅威アクターにより配信された。


このキャンペーンで採用された ShadowPad マルウェアのサンプルは、Microsoft Office IME バイナリの古くて脆弱なバージョンを、ローダーとして悪用していた。このローダーは、ペイロードを起動するためにカスタマイズされた、セカンド・ステージ・ローダーをロードするものだ。

Cisco Talos は、「このキャンペーンは、中国人で構成されていると米国政府が主張している、APT41 が操るものだと中程度の信頼度で評価している。この評価は、主に中国の APT グループが独占的に使用する TTP/インフラ/マルウェア・ファミリーなどの重複に基づいている 。この攻撃で使用されたマルウェア・ローダーは、ShadowPad ローダーであることが判明している。しかし、当社では、攻撃者が使用した最終的な ShadowPad ペイロードを取得できなかった」と述べている。

ShadowPad は、中国のハッキング・グループに対して、独占的に販売されているモジュール型の RAT (remote access trojan) である。ShadowPad は、中国の成都で活動している APT41 に関連することが公表されており、Mustang PandaTonto Team などの中国グループにも使用されている。

研究者たちは、イニシャル攻撃ベクターを特定できなかった。この攻撃者は、標的とする3つのホストを侵害し、そのネットワークか文書を流出させた。さらに攻撃者は、Web シェルを使用して永続性を維持し、ShadowPad や Cobalt Strike などの追加のペイロードをドロップした。

この攻撃者は、Windows Defender の検出を回避するために、GoLang で書かれた独自の Cobalt Strike ローダーを使用した。このローダーは、GitHub で発見された CS-Avoid-Killing という Anti-AV ツールから派生したものであり、中国の多様なハッキング・フォーラムやチュートリアルにより宣伝されている。簡体字中国語のファイルやディレクトリのパスが存在することから、このローダーを作成した脅威者は、中国語に精通していると考えられる。

APT41


また、この攻撃者は PowerShell コマンドを実行して、ShadowPad マルウェアをメモリ内でダイレクトに実行し、C2 サーバから Cobalt Strike フェッチするための、スクリプトを実行していることも確認されている。

Cisco Talos は、「このキャンペーンの調査中に、2種類の ShadowPad に遭遇しました。どちらのバージョンも、同じサイド・ローディング技術を利用しているが、それぞれの脆弱な正規バイナリを悪用して、ShadowPad ローダーを起動させている。ShadowPad ローダーの最初の亜種は 、2020年の時点で議論されているが、一部のベンダーは ScatterBee と呼んでいた。その技術的構造と複数のコンポーネントの名称は、以前の報告と一致している。ShadowPad ローダーの最新の亜種は、 13年以上も前の、Microsoft Office IME imecmnt.exe バイナリ の、古くて影響を受けやすいバージョンを標的としていた」と述べている。

さらに Talos は、CVE-2018-0824 の PoC エクスプロイトを、ダイレクトにメモリに注入するカスタム・ローダーを、APT41 が作成したことも突き止めた。この脅威アクターは、リモートコード実行の脆弱性を利用して、ローカル権限の昇格を実現していた。

Cisco Talos は、「侵害のプロセスにおいて、この脅威アクターは、UnmarshalPwn と呼ばれるツールを用いて、脆弱性 CVE-2018-0824 の悪用を試みている。彼らは検知を回避するために、RDP を使用している場合において、システムにログインしている他のユーザーを確認できる “quser” を実行する。それにより、他のユーザーの活動を停止できる。そして、バックドアを配備した後に、最初のアクセスを許可したウェブシェルとゲスト・アカウントを削除していた」と付け加えている。

このキャンペーンのアーティファクトを分析した研究者たちは、複数の異なるキャンペーンで使用された、同じ脅威アクターによると思われるサンプルとインフラを特定した。これらの調査結果を共有することで、コミュニティ間での連携を強化し、さらなる調査を推進できるだろう。

Cisco Talos は、このキャンペーンに関する Indicators of Compromise を、GitHubリポジトリで公開している。

最近の APT41 については、2023/07/20 の「WyrmSpy/DragonEgg スパイウェア:Android ユーザーを狙う APT41 の新戦略」と、2024/07/18 の「中国由来の APT41 が復活:世界のロジスティクスやテクノロジーなどの産業を狙っている – Mandiant」を ご参照ください。その APT41 が、Windows の古い脆弱性 CVE-2018-0824 を悪用して、台湾の政府機関を侵害しているとのことです。お隣のキュレーション・チームに聞いてみたところ。この脆弱性自体は、2018年5月の Patch Tuesday で FIX しているはずとのことでした。よろしければ、APT41 で検索も、ご利用ください。