2025年8月15日Ravie Lakshmananマルウェア / オープンソース
中国語を話す高度持続的脅威(APT)グループが、台湾のウェブインフラ関連組織を標的とし、カスタマイズされたオープンソースツールを用いて、価値の高い被害者環境への長期的なアクセスを確立しようとしていることが確認されました。
この活動はCisco TalosによってUAT-7237という活動クラスターに分類されており、少なくとも2022年から活動していると考えられています。このハッキンググループは、2023年から台湾の重要インフラ組織を攻撃していることで知られるUAT-5918のサブグループであると評価されています。
「UAT-7237は最近、台湾国内のウェブインフラ関連組織を標的とした侵入を行い、オープンソースのツールを大幅にカスタマイズして活用し、検知を回避しつつ侵害した企業内で悪意ある活動を行っている可能性が高い」とTalosは述べています。
これらの攻撃は、SoundBillと呼ばれる特注のシェルコードローダーの使用が特徴であり、これはCobalt Strikeなどの二次ペイロードをデコードして起動するよう設計されています。
UAT-5918との戦術的な重複はあるものの、UAT-7237の手法には顕著な違いが見られます。例えば、Cobalt Strikeを主要なバックドアとして利用する点、初期侵害後のウェブシェルの選択的な展開、永続的なアクセスのためにリモートデスクトッププロトコル(RDP)やSoftEther VPNクライアントを直接組み込む点などです。
攻撃の連鎖は、インターネットに公開された未修正サーバーの既知の脆弱性を悪用することから始まり、その後、初期の偵察やフィンガープリントを行い、標的が更なる攻撃に値するかどうかを判断します。
「UAT-5918は即座にウェブシェルを展開してバックドア経由のアクセスチャネルを確立しますが、UAT-7237は大きく異なり、SoftEther VPNクライアント(Flax Typhoonに類似)を使ってアクセスを維持し、後にRDP経由でシステムにアクセスします」と研究者のAsheer Malhotra、Brandon White、Vitor Venturaは述べています。
このステップが成功すると、攻撃者は企業内の他のシステムに横展開し、SoundBill(VTHelloを基にしたシェルコードローダー)を展開し、Cobalt Strikeを起動するなど、更なる活動を行います。
侵害されたホストには、JuicyPotato(様々な中国系ハッキンググループが広く使用する権限昇格ツール)や、認証情報を抽出するためのMimikatzも展開されます。興味深いことに、その後の攻撃では、Mimikatzのインスタンスを組み込んだSoundBillの更新版が利用され、同様の目的が達成されています。
また、FScanを使ってIPサブネット内のオープンポートを特定するほか、UAT-7237はWindowsレジストリの設定変更を試み、ユーザーアカウント制御(UAC)の無効化や平文パスワードの保存を有効化しようとしたことも観測されています。
「UAT-7237は[SoftEther] VPNクライアントの言語設定ファイルで簡体字中国語を優先表示言語に指定しており、オペレーターが中国語に堪能であることを示しています」とTalosは指摘しています。
この情報公開は、IntezerがGelsemiumと呼ばれる中国系脅威アクターに関連する既知のバックドア「FireWood」の新たな亜種を発見したと発表した中で明らかになりました(ただし確証度は低い)。
FireWoodは2024年11月にESETによって初めて文書化されており、usbdev.koというカーネルドライバールートキットモジュールを利用してプロセスを隠し、攻撃者が管理するサーバーから送信された様々なコマンドを実行できる能力が詳細に説明されています。
「バックドアの基本的な機能は同じですが、実装や設定にいくつかの変更が見られました」とIntezerの研究者Nicole Fishbeinは述べています。「カーネルモジュールも更新されたかどうかは不明で、収集することができませんでした。」
翻訳元: https://thehackernews.com/2025/08/taiwan-web-servers-breached-by-uat-7237.html