SecurityScorecardは、中国と関連のあるアクターが、米国とアジアの被害者を標的にしたサイバー諜報キャンペーンを実施するために、侵害された接続デバイスを含むOperational Relay Boxes(ORBs)のネットワークを使用していると警告しました。
このセキュリティベンダーは、「LapDogs」ボットネットがすでに世界中のルーターやIoTエンドポイントのような1000以上の小規模オフィス/家庭用オフィス(SOHO)デバイスで構成されていると主張しました。これらは通常、仮想プライベートサーバー(VPS)と組み合わせて、難読化ともっともらしい否認のためのORBネットワークを作成すると述べています。
このキャンペーンでは、脅威アクターが「ShortLeash」というカスタムバックドアを使用しており、感染したデバイスに持続性を持たせ、ORBネットワークに接続します。ShortLeashは、捜査官を惑わすためにロサンゼルス警察署(LAPD)によって署名されたように偽装されたTLS証明書を生成するようです。
2023年9月にさかのぼるこの計画的なキャンペーンは、デバイスと被害者を徐々に追加しており、多くの被害者は不動産、IT、ネットワーキング、メディア分野に属しており、通常は米国、日本、韓国、香港、台湾に分布しています。
ORBネットワークについてさらに読む: SentinelOneが中国の攻撃に対してサイバーセキュリティベンダーに警告
報告書は、被害者が侵害されたSOHOデバイスを所有している可能性があり、それらのデバイスを通じて脅威グループによるサイバー諜報の標的にされるか、侵害されたSOHOデバイスを初期アクセスベクターとして使用してローカルネットワークが侵害される可能性があると主張しました。
SecurityScorecardは、162の異なる侵入セットを特定できたと述べ、このキャンペーンに投入された慎重な運用計画を強調しました。
「フォレンジック証拠には、スタートアップスクリプト内の中国語の開発者ノート、ツール、技術、手順(TTP)、および被害者の分析が含まれており、中国と関連のある高度な持続的脅威(APT)および同様のORBへの帰属を支持しています」と報告書は述べています。
「研究はさらに、証明書発行日とポート割り当てに基づく標的操作を特定し、地理的クラスターを持つ異なる侵入セットを特定することを可能にします。」
ORBsは中国のアクターにとってますます人気のあるTTPであり、悪名高いVolt Typhoonや他のグループによって、指揮・統制(C2)通信を隠し、検出を回避し、帰属を複雑にするために使用されています。
2月に、Check Pointは、世界中の「敏感な」ドメインの製造サプライヤーを標的にしたネットワークを明らかにしました。
1か月後、Sygniaは、中国と関連のあるWeaver Antグループが通信プロバイダーを標的にした類似のネットワークを発見しました。
SecurityScorecardは、LapDogsに類似したORBネットワーク「PolarEdge」が同じインフラを共有しているが、TTPと証明書管理が異なると述べました。
「LapDogsは、サイバー脅威アクターが分散型で低可視性のデバイスを活用して持続的なアクセスを得る方法における戦略的なシフトを反映しています」とSecurityScorecardのチーフ脅威インテリジェンスオフィサー、ライアン・シャーストビトフ氏は述べました。
「これらは機会主義的なスマッシュアンドグラブ攻撃ではなく、伝統的なIOCの価値を侵食する意図的で地理的にターゲットを絞ったキャンペーンです。」
翻訳元: https://www.infosecurity-magazine.com/news/chinese-lapdogs-orb-network/