出典:Mark Summerfield / Alamy Stock Photo
長年にわたり、中国政府系ハッカーは新たに発見されたLinuxの悪用後フレームワークを使用して、中央アジアおよびその先の通信会社をスパイしてきました。
マルウェアは「Showboat」または「kworker」と呼ばれています。Black Lotus Labsは、アフガニスタンのインターネットサービスプロバイダー(ISP)から東ウクライナの係争中のドンバス地域の未知のIPに至るまで、まったく異なるターゲットに対するShowboat活動の異なるクラスターを観察しており、中国の高度な永続的脅威(APT)がそれを共有していることを示唆しています。
PricewaterhouseCoopers(PwC)によると、これらのAPTの少なくとも1つはCalypsoです。2019年に初めて観察されたCalypsoは、中国の議論が少ないスパイグループの1つであり、おそらくその活動は西側のサイバーセキュリティ企業の可視性が平均的に低い国で行われるためです。たとえば、アフガニスタン、カザフスタン、トルコ、インドなど。CalypsoはShowboatを使用し、「JFMBackdoor」と呼ばれるほぼ同等の高度なWindowsバックドアとともに使用しています。
Showboat悪用フレームワーク
Showboatは有用ですが例外的ではないスパイツールであり、中国の脅威グループが4年間にわたって深刻な地政学的インテリジェンスを集めながら、完全に秘密裏にそれを使用してきたことはさらに驚くべきことです。
おそらく、その最も重要なトリックは、公共のインターネットに接続されていないローカルエリアネットワーク(LAN)上のデバイスをスキャンしてから感染させる機能です。Black Lotus Labsのプリンシパル情報セキュリティエンジニアであるDanny Adamitisは、「ネットワークでこれを見つけた場合、おそらくネットワークには他にもたくさんの悪いものがあり、非常に長い週末を過ごすことになるでしょう」とコメントしています。
完全に機能していますが、Showboatは中国の最先端の通信マルウェアとは全く比較にならないものです。BPFdoorたとえば、living-off-the-landの専門家であり、HTTPSリクエストとインターネット制御メッセージプロトコル(ICMP)pingでのコマンドアンドコントロール(C2)トラフィックをほぼ知覚できない程度に隠蔽しています。Adamitisの評価では、Showboatは「私が見たことのある最高のバックドアではありません。私にとっては、これはほぼ新しいバージョンのShadowPadのように感じられ、ただ[注目すべき]種類のクールな機能があります。」
しかし、Showboatの平凡さは欠陥と同じくらいデザイン上の特徴である可能性があります。結局のところ、シンプルで簡単に機能するものがあるのに、なぜ非常に複雑なカスタムツールに投資する必要があるのでしょうか。マルウェアは少なくとも2022年の半ば頃から存在していた可能性がありますが、研究者がこの年にそれに到達したときまでに、VirusTotal(VT)で合計ゼロの検出を登録しました。これは、最高のTyphoonでもアクセスできるほぼ超ステルス、カスタム、ネイティブスパイマルチツールと同じくらいです。
「バックドアを必ずしもアセンブリだけで書く必要があり、ICMP上で奇妙なマッチングパケット処理を行う必要があるわけではありません」とAdamitisは言います。「彼らは、私の意見では、もう少し日常的なものである何かでまだ適度な成功を収めているようです。」
Showboatが適切なツールでない場合、それを使用する脅威アクターは中国の脅威アクター間で広く共有されているマルウェアのプールに引き込むことができます。「Red Lamassu(別名Calypso)は歴史的にPlugXを使用してきました。これは複数の中国ベースの脅威アクター間で広く共有および再利用されるマルウェアファミリーです」とPwCの脅威インテリジェンス分析官であるDaniel van Apeldoornは述べています。彼は、「最近では、Linuxヘビーな環境(通常はUnixベースのシステムで実行される通信インフラストラクチャなど)にLinuxバックドアを展開し、Windowsが支配的な企業または企業環境をターゲットにする場合はWindowsバックドアを展開することで、ツールセットをカスタマイズできる」と付け加えています。
中国のマルウェア実験
Black Lotus Labs研究者のRyan Englishはadamitisのポイントを拡大しています。「中国が好きなことは、世界の特定の部分を一種の実験室として指定することです。彼らは完全に更新された仮想システムに対してマルウェアをテストし、その後、実際の小さな市場テストに持ち込みます。これはアフリカの銀行に対して機能しますか?これはベトナムの通信会社に対して機能しますか?それが機能した場合、彼らはそれをより深刻なターゲットに持ち込む自信を感じています。」
少なくともいくつかのデータは、Showboatが小さな市場ソリューションとして考えられたという解釈をサポートしているようです。
Black Lotus Labsは複数の明らかに独立した中国の脅威クラスターが最高の価値を持つターゲットに対する長期的で高価値のキャンペーンにコミットすることなくそれを渡しているのを追跡しました。たとえば、1つの脅威クラスターはShowboatをかなりランダムに使用しているようで、米国とドンバス地域のIPアドレスに異なる時間に接続しています。別のものは、平均的にサイバーセキュリティが成熟していない国の組織に対してそれを展開しました。アフガニスタンからのISP、およびアゼルバイジャンと中東の他の未命名の犠牲者。一方、PwCによって追跡されたCalypso活動はアフガニスタンの通信プロバイダーをターゲットにしました。
EnglishはShowboatがこれらの小さな市場で成功した可能性があると推測しています。「誰かが言った:完璧は十分に良いことの敵です。そして彼らはそれを実行させた。私は彼らはおそらくそれで経済的だったと思う。」
翻訳元: https://www.darkreading.com/threat-intelligence/chinese-apts-linux-backdoor-telco-attacks
