TokyoBlackHatNews

securityweek.com 4分で読了

中国系APTが標的を拡大、最近のキャンペーンでバックドアを更新

中国系の国家主導型ハッカーが、既知のパターンに従うか現在の政治状況に適応するかのいずれかの新しいキャンペーンで、標的を拡大し悪意のあるツールを更新していることが観察されました。

2025年12月から2026年2月の間に、Salt Typhoon(Earth Estries、FamousSparrow、GhostEmperor、UNC2286としても知られており、最も攻撃的な中国系APTの1つと考えられている)がアゼルバイジャンの石油・ガス企業を標的にしていたことが、Bitdefenderが報告しています。

このキャンペーンは典型的なSalt Typhoonの活動からの転換を示し、明らかに米国、アジア、中東、アフリカの政府、電気通信、技術企業を標的としていました。これはアゼルバイジャンのヨーロッパエネルギー安全保障における最近の役割の増加によってトリガーされた可能性があります。

Bitdefenderによると、ロシアのウクライナガストランジット協定の失効と最近のホルムズ海峡の混乱の結果、アゼルバイジャンはヨーロッパ諸国の戦略的エネルギーパートナーとなり、APTの標的となっています。

最近観察された侵入は、中程度から高い信頼度でSalt Typhoonに帰属され、Microsoft Exchange脆弱性の悪用から始まり、その後Webシェル配置、コマンド実行、DLLサイドロード、バックドア配置が続きました。

12月に、脅威アクターはExchangeサーバでのコード実行のためにProxyNotShellエクスプロイトチェーンを使用し、フットホールドを確立するためにWebシェルを配置し、その後更新されたDLLサイドロード技術を介してDeed RATを配置しました。

バックドアは正当なLogMeIn Hamachiインストールを模倣するフォルダに隠されており、LogMeIn Hamachiに偽装したサービスを通じて永続性が達成されました。このサービスはシステム起動時に起動されました。

初期ホストを侵害した後、攻撃者はRDPを悪用して2番目のサーバにアクセスし、管理者アカウントでログインし、その後Deed RATを配置しました(おそらくハンズオンキーボード活動の一部として)。次に、彼らはImpacketツールを使用して3番目のホストを侵害しました。

1ヶ月後、マルウェアが少なくとも1つのホストから削除された後、ハッカーは最初に侵害されたサーバにアクセスし、TernDoorバックドアを配置しました。これはCiscoのTalosセキュリティ研究者によってSalt Typhoonにリンクされました。

2月末に、APTは被害者の組織の環境に再度アクセスし、同じ実行チェーンを使用してDeed RATを再配置しようとしました。

「この侵入は孤立した侵害ではなく、被害者の環境内でアクセスを繰り返し回復および拡張しようとしたアクターによって実行された持続的かつ適応的な操作として見られるべきではありません。複数の活動波全体で、同じアクセスパスが再度訪問され、新しいペイロードが導入され、追加のフットホールが確立されました」とBitdefenderは述べています。

Twill Typhoon攻撃

2025年9月から少なくとも2026年4月まで、Darktraceは中国系APT Twill Typhoon(Bronze President、Camaro Dragon、Earth Preta、Mustang Panda、TA416としても知られている)がモジュール式の.NETベースのRATフレームワークを含む更新されたアーセナルを使用してアジア太平洋およびJapan(APJ)地域の企業を標的にしていることを観察しました。

セキュリティ企業が報告したところ、複数の感染ホストは、Yahoo、Appleサービスを含むコンテンツデリバリーネットワーク(CDN)を偽装するドメインへのリクエストを送信し、正当なバイナリを一致する.configファイルおよび悪意のあるDLLと一緒に取得していました。

取得されたシーケンス(中国関連キャンペーンの特徴)は、DLLサイドロードを介してFDMTPというダビングされた新しいRATフレームワークの実行につながります。

9月と10月に観察された攻撃の間、侵害されたホストは同じ外部ホストからDLLを繰り返し取得しました。4月に、金融機関のネットワーク内のシステムは正当なバイナリを取得し、その後configファイルとDLLコンポーネントを繰り返し取得しました。

攻撃者はマルウェアの実行を確保するためにVisual Studioホスティングと正当なWindows ClickOnceエンジンに頼りました。メインペイロードはバックドア機能のためのさまざまなプラグインに依存するモジュール式フレームワークでした。

RATはシステムフィンガープリント、コマンド実行、Windowsタスクの操作、レジストリ永続性の管理、システムプロセスの操作、ファイルとコマンドの取得をサポートします。

「侵入は単一のフットホールに依存しているのではなく、独立して更新、置換、または再ロードできるコンポーネント全体に分散しています。このアプローチはより広い中国関連の取引慣行と一致しています」とDarktrace は述べています。

翻訳元: https://www.securityweek.com/chinese-apts-expand-targets-update-backdoors-in-recent-campaigns/

ソース: securityweek.com
#DLLサイドロード #Microsoft Exchange #Salt Typhoon #Twill Typhoon #サイバーセキュリティ #バックドア #マルウェア #中国系APT #標的型攻撃 #石油・ガス産業

関連記事

研究者が未パッチの2020年CVEを狙うMiniPlasma Windowsエクスプロイトを公開

最初のShai-Hululワームのクローンが出現

VMware Fusionの高リスク脆弱性がパッチされた