中国と関連する高度な侵入グループが、東南アジア全域のエッジネットワーク機器を標的とした大規模なキャンペーンを展開しています。
セキュリティ研究者は、攻撃者が「router.self」という名称のカスタムLinux実行可能インプラントを、侵害された境界ルーターに直接展開していることを確認しました。
このインプラントは、DNS over HTTPSを通じて持続的なコマンド&コントロール(C2)アクセスを確立しながら、同時にルーターの内部ネットワークアドレス変換サブシステムを操作し、下流のDNSトラフィックを大規模に乗っ取ります。
Windows側で関連する活動では、「version.dll」として知られる脇に置かれたダイナミックリンクライブラリファイルを介したDLLサイドローディングにより、クラック版のCobalt Strike ビーコンが配信されます。
アナリストによると、ルーターインプラントとWindowsペイロードはいずれも同一のC2インフラおよび通信プロファイルを共有しており、統一された作戦制御が確認されています。
巧妙な攻撃チェーンアーキテクチャは、標的となる境界ルーターのroot権限侵害から始まり、カスタムのリモートアクセス型トロイの木馬と「client_rc_start」という名称の2つ目の冗長バックドアが展開されます。
セキュリティ研究者は、主要なルーターインプラントが静的リンクされストリップされたLinux実行ファイルであり、複数の高度なアンチ解析技術を用いて設計されていることを強調しています。
これらの回避手法には、位置独立実行コンパイルや複雑な多層構成暗号化などが含まれます。
この悪意あるインプラントは、ハードコードされた復号シードで初期化されたカスタムストリーム暗号を使用して、埋め込まれた通信設定を保護しています。
機密性の高いランタイム文字列は、実行中にのみ動的にデコードされる単一バイトエンコード方式によってさらに難読化されています。
秘密裏の通信を維持するため、インプラントはCloudflare DNS over HTTPSを通じてC2ドメインを解決し、従来の企業DNSモニタリングシステムを効果的に回避しています。
さらに、攻撃者は侵害されたルーターに持続的なネットワークアドレス変換ルールをインストールし、すべての下流DNSトラフィックを攻撃者が管理する不正なリゾルバーへ積極的にリダイレクトします。
その影響として、ルーターに接続されたすべてのデバイスのDNS解決が完全に掌握されます。
脅威アナリストは強調していますが、この能力によりソフトウェア更新チャネル、セキュリティベンダードメイン、および認証情報収集メカニズムの標的型ハイジャックが可能になります。
2つ目のバックドアの展開により、ネットワーク管理者によってメインのインプラントが検出・除去された場合でも、継続的な不正アクセスが確保されます。
Qiitaの調査によると、攻撃者はDLLサイドローディングによって配信されたクラック版Cobalt Strikeビーコンを使用し、侵害されたネットワークインフラから内部のWindowsエンドポイントへとシームレスに作戦範囲を拡大しています。
セキュリティアナリストは、悪意のある「version.dll」ペイロードが、疑惑を避けるために被害者のローカルマシン上の正規のシステムクラッシュレポートプロセスに密かに読み込まれていることを確認しました。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化されています(例:[.])。再有効化はMISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/china-linked-hackers-target-routers/
