中国政府と連携したハッカーグループが、大手エネルギー企業のMicrosoft Exchangeサーバーに侵入しました。同じエントリーポイントを繰り返し使用して数ヶ月にわたるスパイ活動を実施し、Deed RATおよびTerndoorバックドアをデプロイしてネットワーク全体への深いアクセスを維持していました。
この活動は、中程度から高い信頼度でFamousSparrowに帰属するものと判断されています。FamousSparrowは、中国と連携したAPTクラスターで、Earth EstriesおよびSalt Typhoonと戦術的に重複しています。
調査官らは、このキャンペーンを身代金要求型マルウェアや強盗的なデータ窃盗ではなく、長期的なサイバースパイ活動と評価しています。
タイミングと場所は戦略的に重要です。ロシアのウクライナ通過合意の終了とホルムズ海峡の混乱以降、ヨーロッパへのガス供給におけるアゼルバイジャンの役割は急速に拡大しています。
この回廊のエネルギー企業を標的とすることで、攻撃者は地政学的緊張が高まっている時期にヨーロッパのエネルギーフローへの可視性を得ることができます。
侵入は2025年12月25日に開始されました。この時、Exchange IISワーカープロセスw3wp.exeがMSExchangePowerShellAppPoolで実行中にASPXウェブシェルをパブリックディレクトリに書き込もうとしました。これはProxyNotShell Exchangeエクスプロイトチェーンの悪用を示しています。
Bitdefenderの研究者らは、2025年12月後半から2026年2月後半にかけてアゼルバイジャンの石油・ガス企業に対する複数波にわたる侵入を発見しました。これは公開レポートで初めて南カフカスエネルギー部門への中国APT活動の拡大を記録したものです。
その後数日間にわたり、攻撃者はkey.aspx、log.aspx、errorFE.aspx、signout.aspxなどの一見無害な名前のウェブシェルを複数デプロイしてフットホールドを強化しました。
これらのウェブシェルはその後、脆弱なサーバーから直接コマンドを実行してマルウェアペイロードをステージングするための制御ポイントとして機能しました。
公開されている事前レポートでは、米国、アジア太平洋、中東、南アフリカ全域の通信、政府、テクノロジー部門に対する活動が記録されています。
ProxyShellおよびProxyNotShellは、パッチが当たっていないExchangeサーバーでリモートコード実行を可能にする、以前から知られているエクスプロイトチェーンです。しかし、多くの組織はこれらのシステムを適切なパッチ適用やセグメンテーションなしで公開したままにしています。
Bitdefenderは、部分的なクリーンアップ後も攻撃者が同じExchangeエントリーポイントに何度も戻ることに注目しています。これは、未修復の脆弱性がAPTの持続的なアクセスチャネルになることを示しています。
中国のAPTがMicrosoft Exchangeを悪用
最初の波で、グループは高度なDLLサイドローディングチェーンを使用してDeed RATをデプロイしました。このチェーンは正規のLogMeIn Hamachi サービスを悪用していました。
信頼されたバイナリ(LMIGuardianSvc.exe)を使用して悪意のあるDLL(LMIGuardianDll.dll)をロードし、その後、暗号化されたペイロードファイル(.hamachi.lng)をデコードして実行し、Deed RATバックドアを含むペイロードを実行しました。
古典的なサイドローディングとは異なり、このローダーはロジックを2つのエクスポート関数InitおよびComMainに分割し、ホストアプリケーションが通常のスタートアップパスをたどってパッチを適用したWindows APIを呼び出した後にのみペイロードをトリガーしました。
この2段階トリガーは暗黙的なアンチ分析レイヤーとして機能します。サンドボックスが分離状態でDLLを実行するか、単一のエクスポートを呼び出す場合、実際の悪意のあるコードに到達しないためです。
ツールチェーンは進化を示しており、マジック定数が変更され(例えば0xFF66ABCDに)、プラグイン圧縮はSnappyからDeflateに移行しました。これはDeed RATエコシステムの継続的な開発を示しています。
ブロブデータはカスタムPRNGアルゴリズムによって生成されたバイトストリームを使用してXOR復号化されます。この復号化段階に続いて、プラグインは部分的にのみ復旧され、ヘッダー(0xFF66ABCDマジック値を含む)が含まれます。
アクティブになると、Deed RATは設定管理、ネットワーク、プロキシ、インストール、プロセスインジェクション用の複数のプラグインをロードし、FamousSparrowに侵害されたホストへの完全なリモート制御を与えます。
後の波でのコマンド・アンド・コントロール通信はHTTPSを経由してセキュリティベンダーになりすましたドメイン(sentinelonepro[.]comなど)にルーティングされました。
防御者がいくつかのインプラントを削除した後、攻撃者は2番目の波を開始しました。同じ脆弱なMicrosoft Exchangeサーバーを再度通じて侵入しましたが、今回はMofuローダー経由でTerndoorバックドアをデプロイしようとしました。
攻撃者は別の署名済みバイナリである名前を変更したdeskbandinjector64.exeを悪用して悪意のあるDLLをサイドロードし、最終的にカーネルモードドライバー(vmflt.sys)をrootkit風の永続性チェーンの一部としてドロップしました。
セキュリティコントロールが完全なインストール前にこの試みをブロックしましたが、メモリフォレンジクスはMofu形式のシェルコードを明らかにしました。これはLZNT1圧縮PEペイロードをデコードしたもので、セクションレイアウト、RC4実装、Cisco TalosのUAT-9244レポートに一致するドライバロード動作に基づいてTerndoorと評価されました。
初期Exchangeホストから、攻撃者はドメイン管理者認証情報を使用してリモートデスクトッププロトコルで横展開し、その後Impacket形式のatexecおよびsmbexec技術に依存してDeed RATを追加サーバーに拡散させました。
これにより、ネットワークのより深い場所に冗長なフットホールドが確立され、単一マシンのクリーンアップだけでは環境から攻撃者を削除できないようになりました。
防御者は、ProxyShellおよびProxyNotShellに脆弱な公開されているExchangeサーバーを直ちにパッチ適用するかアイソレートすることを強く推奨されます。また、IISワーカープロセスがウェブアクセス可能なパスにASPXファイルを書き込むことを監視してください。
セキュリティチームは、既知の署名バイナリを含むDLLサイドローディングチェーン、標準以外の場所にある疑わしいカーネルドライバーサービス、および実行可能ファイルをすぐにドロップするPowerShellを生成する管理者RDPセッションを監視する必要があります。
最後に、Deed RATまたはTerndoor活動を検出する環境は、インシデントを長期的なスパイ活動キャンペーンとして扱い、高い権限の認証情報をローテーションし、侵入者を削除するために徹底的なメモリおよびネットワークフォレンジクスを実施する必要があります。
翻訳元: https://gbhackers.com/chinese-apt-exploits-microsoft-exchange/
