中国関連のハッカーがカスタムLinuxマルウェアでSEAエッジルーターを攻撃

中国関連のハッカーは、カスタムELFマルウェアでLinuxベースのエッジルーターを侵害し、Windows システム上の違法なCobalt Strike Beaconとペアリングすることで、ネットワーク全体に対する統一的なコマンド&コントロールのための隠密なインフラ中心のスパイ活動キャンペーンを東南アジア全域で実施しています。

この作戦により、従来のエンドポイント中心の防御をほぼ回避しながら、ダウンストリームトラフィックに対する完全な可視化と操作が可能になります。

この立場から、彼らは侵害されたルーターの背後にあるあらゆるデバイスに影響するトラフィックを静かに監視、リダイレクト、または武器化することができます。

ルーター側では、攻撃者は router.elf という名前のカスタム64ビットLinux ELFマルウェアをデプロイし、セカンダリバックドア（client_rc_start）と永続的なiptablesハイジャックルールによってサポートされています。

Qiitaによると、中国関連の侵入グループは、Linuxベースのボーダーおよびエッジルーターをエンタープライズネットワークのゲートウェイとして依存している東南アジアの組織をターゲットにしています。攻撃者は、まずエンドポイントを狙うのではなく、ルーター自体にマルウェアを埋め込み、すべての入出力トラフィックを処理するインフラストラクチャへのルートレベルアクセスを取得します。

Windows 側では、同じオペレーターが version.dll のDLLサイドローディングを介して違法なCobalt Strike 4.4 Beaconを配信し、同じC2プロファイルと重複するインフラストラクチャを使用してプラットフォーム全体での統一的なコントロールを確認しています。

SEAエッジルーター

帰属分析は、中華人民共和国（PRC）に関連するサイバーオペレーターを強く示唆しています。このキャンペーンの動機は、短期的な経済的動機による侵入というより、東南アジアの機密ネットワークへの長期的なスパイ活動と永続的なアクセスのように見えます。

複数の要因がこの評価をサポートしています：Linuxマルウェアに組み込まれた中国語の文字列、C2 HTTPヘッダーの中国語言語設定、および以前に文書化されたPRC活動と一致する違法なCobalt Strike ライセンス。

さらに、ドメイン登録とインフラストラクチャ使用パターンは、地域の通信および政府ネットワークを日常的にターゲットにしている既知のPRC関連クラスタと一致しています。

router.elf ペイロードは、GCCでコンパイルされた静的にリンクされ、ストリップされ、位置独立コードのLinux x86-64バイナリであり、エッジデバイス用の全機能備わったリモートアクセストロイの木馬（RAT）として機能します。

静的リンクとシンボルストリッピングは明らかな依存関係とデバッグアーティファクトを削除し、PIEコンパイルはロードアドレスをランダム化してメモリフォレンジクスと悪用を複雑にします。

C2ドメインとHTTPプロファイルを含む構成データは、シンプルなXORを層状に重ねたカスタムXorシフトベースのストリーム暗号で保護されており、インジケーターの静的抽出を著しく難しくします。ファイルパスとプロセス名などの機密実行時文字列は、単一バイトのXORルーチンで難読化され、実行時にのみメモリ内でデコードされます。

従来のDNSに依存するのではなく、ルーターマルウェアはDNS over HTTPS（DoH）経由でC2ドメインを解決して通信し、特にCloudflareの cloudflare-dns.com エンドポイントを活用しています。

DNSルックアップを暗号化されたHTTPSトラフィック内にトンネリングすることで、攻撃者はクリアテキストポート53トラフィックに焦点を当てた多くのエンタープライズDNSログおよびセキュリティコントロールを回避します。

復号化された構成は、ポート443でHTTPSを使用するC2プロファイルを明かし、ポーリング用の /api/v1/get やデータ流出用の /api/v1/post などのURIを含み、良性のウェブAPIを模倣しています。

マルウェアはWindows のようなUser-Agentストリングと Accept-Language: zh-CN ヘッダーを設定して、一般的なブラウザトラフィックに溶け込みながら、依然として微妙な言語的特徴を示しています。

C2を超えて、敵は侵害されたルーターを横断するすべてのダウンストリームDNSトラフィックをハイジャックするための永続的なiptables DNATルールをプッシュします。

これらのルールは、任意の内部ホストからのUDPポート53クエリを、非標準ポート8090でリッスンしている攻撃者制御のDNSサービスにリダイレクトし、効果的に名前解決のための中間者の位置に攻撃者を配置します。

専用ipset（evil_fix など）は、特定のドメインまたはIP範囲宛てのトラフィックを選択的にリダイレクトするために使用され、ソフトウェア更新チャネル、セキュリティベンダーサイト、または高価値ウェブサービスの正確なハイジャックが可能になります。

この組み合わせにより、攻撃者はどのエンドポイントが正当なレスポンスを受け取り、どのエンドポイントがサイレントにトロイの木馬化されたインフラストラクチャに指し示されるかを完全に制御できます。

回復力を確保するため、この作戦は client_rc_start という名前のセカンダリコンポーネントを冗長バックドアとして感染したルーターにデプロイします。このバイナリは router.elf と並行してインストールされ、プライマリペイロードが削除された場合、アクセスの再確立、新しいマルウェアのプッシュ、またはiptablesルールの再適用に使用できます。

同じデバイス上に複数の足がかりを保つことは、監視が難しいインフラストラクチャノードの耐久性を優先する他の高度な中国関連ルーター侵害キャンペーンと一致しています。このような冗長性は、複数の永続層の1つだけを特定して削除する可能性のある防御者の修復の複雑さを大幅に増加させます。

Cobalt Strike 操作

Windows エンドポイントでは、脅威アクターは DLL サイドローディングを使用して、正当に見えるクラッシュレポートアプリケーションの見かけの下で Cobalt Strike 4.4 Beacon を実行します。悪意のある version.dll は CrashReport.exe または CrashReport64.exe によって %allusersprofile% の下のディレクトリから読み込まれ、Beacon に見かけ上は正常なホストプロセスとパスを与えます。

Beacon 構成はポート443でHTTPSを使用し、ルーターマルウェアと同じ /api/v1/get および /api/v1/post URI とHTTPヘッダー構造を含み、中国語言語設定と被害者メタデータおよびセッション識別子をエンコードするカスタムCookieを含みます。

プロセスインジェクション設定はよりステルスなRW-to-RXメモリ遷移を優先し、スレッド作成に一般的なWindows APIを使用し、EDR署名を回避することを目的とした文書化されたmalleable C2トレードクラフトと一致しています。

Linuxルーターマルウェアと Windows Cobalt Strike Beacon の両方からのテレメトリは、重複するドメインとほぼ同じネットワークプロファイルを含む共有インフラストラクチャバックボーンを示しています。両方のコンポーネントはほぼ同じ間隔でビーコンを送信し、同じURIを使用し、Cookieキーパターンを共有しており、単一のオペレーターがプラットフォーム全体での完全なキルチェーンを制御していることを明確に示しています。

攻撃者は、まずルーターを侵害し、その後選択的にWindows ビーコンをそれらの背後にステージングすることで、DNSポイズニング、サプライチェーンハイジャック、および侵害されたゲートウェイに依存するあらゆるデバイスに対する幅広い認証情報の盗難などのダウンストリーム攻撃を実行できます。

このインフラ中心のアプローチにより、キャンペーンは多くのエンドポイントコントロールを回避し、機密トラフィックへの長期的な可視化を維持し、被害者環境全体にわたって柔軟にピボットできます。

IOCs

C2 ドメイン：

ファイルインジケーター

注意： IPアドレスとドメインは、偶発的な解決またはハイパーリンクを防ぐため、意図的に無害化（例：[.]）されています。MISP、VirusTotal、またはあなたのSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ復元してください。