Salt Typhoon の武器庫を探査する：破壊力を静かに維持し続ける秘密は？

Salt Typhoon Builds Out Malware Arsenal With GhostSpider

2024/11/27 DarkReading — 中国由来の脅威アクター Salt Typhoon は、数年前から政府や通信などの重要組織をスパイしてきたが、新しいバックドア・マルウェアである GhostSpider もリリースしている。Salt Typhoon (別名 Earth Estries／FamousSparrow／GhostEmperor／UNC2286) は、中華人民共和国における最も選定的な APT の １つである。そのキャンペーンを、2023 年にまで遡ると、20 を超える組織を侵害してきたことが分かる。それらの標的となった組織には、世界中の最高レベルの組織という傾向があり、何年にもわたって侵害が検出されていないケースもある。最近の標的としては、米国の T-Mobile USA などの通信会社や、北米の ISP などが挙げられる。

Salt Typhoon のマルウェアの武器庫

この APT を Earth Estries と呼ぶ、Trend Micro の最新分析によると、脅威アクターたちは標的ネットワークへのアクセスを得た後に、多様で強力なペイロードを展開しているが、それらはオリジナル開発によるものだという。

東南アジア政府の Linux サーバに対して使用されるものとしては、クロス・プラットフォーム・ツール Masol RAT と、モジュール式の SnappyBee (別名 Deed RAT) があるという。その一方で、Trend Micro の VP of Threat Intelligence である Jon Clay によると、新たに発見された GhostSpider は、高度にモジュール化されたバックドアであり、特定の攻撃シナリオに合わせて調整が可能だという。

Jon Clay は、「特定のモジュールを実行して、特定の操作を実行するケースでは、対象となる操作だけが実行され、また、別の操作が必要な場合は、別のモジュールが実行される。それにより、研究者による特定が、きわめて難しくなっている。なぜなら、それぞれの GhostSpider インスタンスごとに、まったく別物に見えるからだ」と述べている。

このバックドア以外にも、このグループは Demodex と呼ばれるルートキットを所有しており、また、一部の活動では Inc ランサムウェアが使用された可能性もあると、Trend Micro は推測している。

Salt Typhoon マルウェア群の多様性は、その活動の方法自体に関係している可能性がある。つまり、複数の個別の専門チームで構成される組織だから、多様な形態のマルウェアを保持していると、研究者たちは捉えている。その運営の下では、たとえば、さまざまなバックドアが、さまざまなインフラ・チームにより管理される。

さまざまな攻撃で使用される TTP (tactics, techniques, and procedures) は、さまざまな地地域や業界に焦点を当てる、それぞれのチームごとに、大きく異なる場合がある。それも、中国 APT の追跡が、長年にわたって困難であった理由となる。Jon Clayは、「このグループの特徴として、痕跡の消去が挙げられる。彼らは、アクセスの取得／アクセスの維持／持続性の維持などを実施しても、その足跡を消し去り、そこに居なかったように、きわめて精巧に繕う」と Clay は言う。

Estries が侵入する方法

2020年から Earth Estries は、各国の政府組織などのターゲットに対して、長期的なスパイ活動を展開してきた。そして、2022年の半ばにスイッチを切り替えている。

Jon Clay は、「以前は、従業員に対するフィッシングを頻繁に行っていた。しかし、現在では、N-Day 脆弱性を悪用することで、アクセス権を盗み出すという方針で活動している。つまり、インターネットに接続されたデバイスをターゲットにして、悪用できるポートやプロトコル、そして、実行中のアプリケーションを侵害している」と述べている。

ここで言う “N-Day” とは、最近になって公開されたバグであり、その時点の組織において、パッチを当てる機会がなかった可能性のある脆弱性を指す。このグループが多用する脆弱性は危険なものであるが、いまでは十分に文書化されている。たとえば、以下の脆弱性が挙げられる：

• CVE-2023-48788：Fortinet の Enterprise Management Server (EMS) に影響を及ぼす、SQL インジェクションの脆弱性
• CVE-2022-3236：Sophos Firewall における、コード・インジェクションの脆弱性
• CVE-2023-46805／CVE-2024-21887：Ivanti の Connect Secure VPN における、特権による任意のコマンド実行の脆弱性
• ProxyLogon：Microsoft Exchange の４つ脆弱性

Jon Clay の指摘は、「全般的に見られるのが、N-Day 脆弱性を悪用である。確かに、電子メールを介したフィッシング、組織にアクセスする強力な手段であり、以前は 80% 以上を占めていた。しかし、いまでは、フィッシング・キャンペーンから始まる攻撃の割合は、はるかに少なくなっていると思う」というものだ。

中国が政府機関を狙ってホップアイランド

多くのケースにおいて Salt Typhoon は、標的ネットワークの脆弱性を、ダイレクトに悪用することはない。その代わりに、きわめて巧妙なアプローチを選択する。

2023 年以降において、被害者の分布は４大陸以上に広がり、アフガニスタン／インド／エスワティニ／米国などに及んでいるが、最も集中しているのは東南アジアである。そこでターゲットにされるのは、通信／化学／輸送／テクノロジー／コンサルティング／非営利セクターなどの組織であり、特に政府に関連する機関に集中している。

ただし、それらの全ての組織が、ハッカーの最終目的地であるとは限らない。たとえば、非政府組織 (NGO) を標的とするケースを考えてみると、盗む価値のあるデータが保管されている場合もあれば、より重要な政府機関を攻撃するための、秘密の踏み台になっている場合もある。そのような戦術の例として挙げられるのは、米国の政府／軍への侵入を目的とする Salt Typhoon が、関連するコンサルティング会社や NGO を侵害した 2023年のインシデントである。つまり、踏み台とする組織の脆弱性を狙い、本命の組織へと、静かに侵入していくという Salt Typhoon の戦術が、すでに観測されているのだ。

Salt Typhoon は、かなりの脅威ですね。慎重な手順で、やり過ぎることなく、じわじわと標的を侵害していく感じですね。現実に、米国のキャリアが、この脅威アクターの被害者となっているようです。この後に、続報があると思います。なお、Fortinet の CVE-2023-48788 ですが、原文では CVE-2024-48788 と表記されていましたが、それは誤りなので修正しておきました。なお、中国由来の APT としては、Volt Typhoon というグループもあります。こちらは、LOLBin の使い手という感じです。よろしければ、Typhoon で検索を、ご利用ください。