中国系のサイバー諜報キャンペーンが、Showboat と JFMBackdoor とそれぞれ呼ばれる新たに発見されたLinuxおよびWindowsマルウェアを使用して、通信事業者を標的にしています。
この作戦は2022年中盤以降少なくとも活動しており、アジア太平洋地域および中東の一部の組織を標的にしていました。これはCalypso脅威グループ(Red Lamassuとしても追跡)に帰属します。
LumenのBlack Lotus LabsとPwC脅威インテリジェンスの研究者によると、脅威アクターは複数の通信業界をテーマにしたドメインをセットアップし、標的になりすますために使用しました。
動画プレーヤーは現在広告を再生中です。マウスまたはキーボードで5秒でスキップできます
Showboat Linuxマルウェア
Calypsoがこれらの攻撃で使用するLinuxエージェントはShowboat/kworkerと呼ばれ、初期侵害後の長期的な永続性を確保するために構築されたモジュラーな事後侵害フレームワークです。初期感染ベクトルは不明です。
本日のBlack Lotus Labsのレポートによると、Showboatが標的システムに配置されると、ホストに関する情報の収集を開始し、コマンドアンドコントロール(C2)サーバーに送信します。
マルウェアは、ファイルのアップロードまたはダウンロード、独自のプロセスの非表示、および新しいサービスを通じた永続性の確立も可能です。
「特に注目すべき機能は「hide」コマンドで、これはPastebinやオンラインフォーラムなどの外部Webサイトに保存されたコードを取得し、「デッドドロップ」として使用することで、ホストマシン上のプロセスを隠蔽することができます」とLumenのBlack Lotus Labs研究者は説明しています。
その最も注目すべき機能は、SOCKS5プロキシおよびポートフォワーディングピボットポイントとして機能し、侵害されたエンドポイント上の足がかりとして機能し、攻撃者が内部ネットワーク上の他のシステムに移動することを可能にします。
JMFBackdoor Windowsマルウェア
PwC脅威インテリジェンスの研究者がRed LamassuのWindows感染チェーンを分析し、DLLサイドローディング手順を段階的に実行するペイロードをドロップするバッチスクリプトの実行で始まることに気付きました(fltMC.exe + FLTLIB.dll)。最終的に、JMFBackdoorと呼ばれる最終ペイロードが読み込まれます。
研究者によると、JFMBackdoorは次の機能を持つ完全な機能を備えたWindowsスパイウェアエージェントです:
- リバースシェルアクセス — 感染したマシンでのリモートコマンド実行。
- ファイル管理 — ファイルのアップロード、ダウンロード、変更、移動、削除。
- TCPプロキシ — 被害者のシステムを内部システムへのネットワークリレーとして使用。
- プロセス/サービス管理 — プロセスおよびサービスの開始、停止、作成、または強制終了。
- レジストリ操作 — Windowsレジストリキーと値を変更。
- スクリーンショットキャプチャ — 被害者のデスクトップのスクリーンショットを取得し、流出用に暗号化。
- 暗号化された設定管理 — マルウェア設定を暗号化された設定で保存/更新。
- 自己削除およびフォレンジック対策 — アクティビティを隠蔽、永続性を削除、痕跡を削除。
インフラストラクチャの分析によると、ハッカーは部分的に分散化された運用モデルに従っており、複数のクラスタが類似の証明書生成パターンとツールを共有していますが、異なる被害者セットを標的にしています。
Lumenは、このツールは複数の中国系脅威グループ間で共有されており、それぞれが異なる地域を標的にし、同じマルウェアエコシステムを使用していると結論付けています。
検証のギャップ:自動化ペネトレーションテストは1つの質問に答えます。あなたは6つが必要です。
自動化ペネトレーションテストツールは実際の価値を提供しますが、1つの質問に答えるために構築されました:攻撃者がネットワークを移動できるか? あなたのコントロールが脅威をブロックするか、検出ルールが発火するか、またはクラウド設定が保持されるかどうかをテストするために構築されていません。
このガイドでは、実際に検証する必要がある6つのサーフェスを説明しています。
