Chinese Hackers Breach Asian Telecom, Remain Undetected for Over 4 Years
2025/03/25 TheHackerNews — 中国の国家支援ハッカーにより4年以上にわたって、あるアジアの大手テレコムがシステム侵入の被害を受けていたことが、インシデント対応企業 Sygnia の最新レポートで明らかになった。Sygnia は、このインシデントを “Weaver Ant” という名称で追跡しており、きわめてステルス性が高く執拗な攻撃者だと述べている。 なお、侵入を受けたテレコムの名称は公表されていない。
Sygnia によると、「攻撃者は、Web シェルとトンネリングを利用して持続的なアクセスを維持し、サイバースパイ活動を展開する基盤を築いていた。この攻撃を仕掛けたグループの目的は、標的テレコムへの継続的なアクセスを確立/維持し、機密情報を収集し、スパイ活動を促進することだった」とのことだ。
この攻撃チェーンに用いられたのは、公開アプリケーションを悪用して、2種類 Web シェルをドロップする手法である。1つ目は、暗号化された China Chopper の亜種であり、過去にも複数の中国系ハッキング・グループに使用されてきた。2つ目は、新たに発見された悪意のツール INMemory である。
INMemory は、その名が示す通り、Base64 でエンコードされた文字列をデコードし、ディスクに書き込むことなく、メモリ内でのみ実行するように設計されている。それにより、フォレンジック調査で見つかり難くなっている。
Sygnia のレポートには、「INMemory は、”eval.dll” という名前の PE (Portable Executable) ファイルに取り込まれた C# コードを実行し、HTTP リクエスト経由で配信されるペイロードを実行していた」と記されている。
これらの Web シェルは、次の攻撃段階で使用されるペイロードを配信するための、足掛かりとして機能することが判明している。その中でも注目すべきは、SMB を介した横方向の移動を容易にするための、リカーシブ HTTP トンネル・ツールである。この手法は、過去においても、Elephant Beetle などの脅威アクターが用いたものである。
さらに、 Web シェル・トンネルを通過する、暗号化されたトラフィックにより、侵入後の一連の活動を行うための機能が提供される。それらの機能により、以下のような悪意のアクションが実行される:
- ETW (Event Tracing for Windows) と AMSI (Antimalware Scan Interface) にパッチを当て、セキュリティ検出を回避する。
- System.Management.Automation.dll を使用して、PowerShell.exe を起動せずに PowerShell コマンドを実行する。
- 侵害した Active Directory 環境に対して偵察コマンドを実行し、高権限アカウントと重要なサーバを特定する。
Weaver Ant は、その標的の選定やキャンペーンの明確な目的などから、中国系サイバースパイ・グループの典型的な特徴を示していると、Sygnia は指摘している。
その根拠として、以下のような特徴が挙げられている:
- China Chopper Web シェルの使用。
- Zyxel 製ルーターを用いたトラフィックの中継ネットワーク (ORB :Operational Relay Box) の構築による攻撃インフラの隠蔽。
- ハッカーの活動の時間帯。
- Emissary Panda に関連づけられてきた、Outlook ベースのバックドアの使用。
Sygnia は、「Weaver Ant は、その侵害活動の期間中において、ネットワーク環境の変化への TTP の適応や、アクセスの再確保、滞在の持続といった、革新的な手法を採用していた。さらに、この脅威アクターは、ツールやインフラ、場合によっては外部契約者の共有などの、中国由来の侵入グループに共通する、作戦と手法を取る傾向にある」と述べている。
台湾人ハッカーによるサイバー攻撃を受けたと中国が主張
先週のことだが、台湾の軍事関係者と思われる4人のハッカーを、中国本土に対するサイバー攻撃の実行犯として、中国国家安全部 (MSS:Ministry of State Security) が非難したと報道されていた。その一方で台湾は、この主張を否定しているという。
MSS の主張によると、この4人は台湾の情報通信電子部隊 (ICEFCOM:Information, Communications, and Electronic Force Command) のメンバーであるという。そして、フィッシング攻撃/政府と軍を標的とするプロパガンダ・メール/ソーシャルメディアを介した偽情報の拡散などを行っていたという。
攻撃に使用されたツールとして挙げられるのは、AntSword Web シェル/IceScorpion/Metasploit/Quasar RAT などのオープンソース・ツールである。
さらに MSS は、「台湾の ICEFCOM は、外部のハッカーやサイバー・セキュリティ企業を雇い、民進党当局が発令したサイバー戦争指令を実行している。彼らは、スパイ行為/妨害行為/プロパガンダなどの活動を行っている」と述べている。
MSS の発表と同時期に、中国のサイバー・セキュリティ企業 QiAnXinと Antiy が明らかにしたのは、台湾の脅威アクター APT-Q-20 (別名:APT-C-01/GreenSpot/Poison Cloud Vine/White Dolphin) による、スピア・フィッシング攻撃に関する詳細である。
QiAnXinと Antiy によると、この攻撃では、C++ トロイの木馬/Cobalt Strike/Sliver などの、C2 (command-and-control) フレームワークが使用されていたという。
さらに QiAnXin は、その他のイニシャル・アクセスの方法として、N-day のセキュリティ脆弱性に加えて、ルーター/カメラ/ファイアウォールなどの IoT デバイスにおける脆弱なパスワードの悪用などを挙げている。同社は、この脅威アクターの活動に関して、特に巧妙なものではないと評価している。
昨年の Salt Typhoon インシデントにより、世界のテレコムへの侵害が明らかになりましたが、アジアでも深刻な問題が発生しているようです。この領域への侵害が止まらないと、たいへんなことが起きそうで怖いですね。よろしければ、以下のリストも、ご参照ください。
2025/02/20:Salt Typhoon が Cisco の CVE-2018-0171 を悪用
2025/02/14:Salt Typhoon の標的は Cisco の CVE-2023-20198
2025/01/17:米政府の Salt Typhoon 制裁:中国の企業を批判
2025/01/15:Salt Typhoon 侵害:政府のネットワーク内で発見
2025/01/02:Salt Typhoon:Lumen が締め出しに成功
IoT OT Security News 
You must be logged in to post a comment.