UNC5221として追跡されている中国のスパイグループが、BrickstormバックドアおよびPlenetとAgentPSDという名称の未文書化マルウェアを使用して、Microsoft 365環境に不正アクセスしていたことが明らかになりました。
インシデント調査の結果、この脅威アクターは検出される少なくとも18か月前に被害者ネットワークへのアクセスを獲得しており、被害者組織のマネージドサービスプロバイダー(MSP)も侵害していたことが判明しました。
UNC5221はVerdantBambooとも呼ばれており、少なくとも2023年以降、エッジデバイスのゼロデイ脆弱性を悪用した攻撃に関与しています。
この脅威アクターは、2025年3月頃に侵害が発見されるまで、1年以上にわたってBrickstormバックドアを米国のさまざまなターゲット環境内で検出されることなく使用し続けていました。
研究者らはBrickstormを「高度なマルウェアインプラント」と説明しています。初期バリアントはGolangで書かれており、その後Rustで書かれた新しいバリアントが登場しました。
Googleは2024年4月にこのバックドアを使用したUNC5221の活動を記録し、2025年9月にも再び記録しています。その際の攻撃対象は法律サービス、SaaSプロバイダー、ビジネスプロセスアウトソーサー、テクノロジー企業でした。
CISAは中国のハッカーがBrickstormをVMware vSphereサーバーに対して展開していると警告を発し、さらに最近ではGoogleが、UNC6201によってDell RecoverPoint for Virtual Machinesに対して展開されたことを報告しています。
被害組織への二重侵害
昨年のインシデントに対応したVolexityの研究者らは、VerdantBambooがEgnyte Storage Syncシステムを侵害し、被害者のWeb SSL VPN経由で定期的にアクセスしていたことを発見しました。
この足がかりと、Brickstormのプロキシ機能および窃取した認証情報を利用して、脅威アクターは組織のMicrosoft 365環境にアクセスしました。
「Volexityは高い確信をもって、これは正当なネットワークトラフィックに紛れ込み、そうでなければアクセスを阻止していたであろう条件付きアクセスポリシーを回避するために実施されたものと評価しています」と研究者らは述べています。
その後Volexityは、ハッカーが検出される前に少なくとも18か月間ネットワーク上に潜伏していたことを発見しました。さらにVerdantBambooは、研究者が修復作業を完了した後も再度組織への侵入を果たしています。
2回目の侵入では、攻撃者は窃取した認証情報を使用して被害者のファイアウォール上でSSL VPNアクセスを有効化・設定し、内部システムへ接続してSynology NASデバイスに追加のカスタムマルウェアを展開しました。
これにより顧客のMSPでも調査が行われ、VolexityはVerdantBambooがpfSenseファイアウォールにBrickstormのBSDバリアントを仕掛けていたことを発見しました。
「Volexityは、このファイアウォールについても、被害組織のStorage Syncシステムと同様に、少なくとも18か月前に侵害されていたと結論付けました。」
研究者らは、攻撃者がMSPから被害組織の環境へと横展開した可能性について中程度の確信を持っています。
その後、Brickstormは被害者のEgnyte Storage Syncアプライアンスおよび廃止済みのLinux GroupWiseメールアーカイブサーバーにも展開されました。
新たなバックドアの使用
数日後に攻撃者が戻り、被害者のインフラへのアクセスを再確立すると、カスタムマルウェアのPlenetをSynology NASアプライアンスに展開しました。
Googleでは「Grimbolt」としても追跡されているPlenetは、クロスプラットフォームの.NETベースのバックドアで、インタラクティブなシェルアクセス、リモートコマンド実行、ファイル操作、コマンド&コントロール(C2)サーバーの切り替え機能を備えています。
研究者らは、PlenetがBrickstormと設計上の類似性を持ち、C2通信にWebSocketプロトコルを使用し、サーバーへの同時データストリームに多重化ライブラリを活用していると指摘しています。
AgentPSDはシンプルなPythonベースのリバースシェルユーティリティであり、Volexityは他のマルウェアにアクセスできなくなった場合のフォールバック型永続化メカニズムとしてVerdantBambooが使用したと考えています。
研究者らは、AgentPSDがBrickstormで使用されていたドメインとは異なるドメインに接続するよう設定されていたことを発見しました。しかし、Brickstormが引き続き稼働していたためAgentPSDは実際には使用されておらず、このことはAgentPSDが二次的なアクセス手段であるという評価を裏付けています。
調査の過程で、VolexityはVerdantBambooに関連するインフラの発見を試みました。研究者らはBrickstormがC2通信に使用しているIPアドレスとドメインを特定するためのフィンガープリントを作成しました。
複数のマシンが特定されたものの、研究者らが他のシステムを明らかにする前に、脅威アクターはインフラをオフラインにしました。
「9月18日から9月23日にかけて、このパターンに以前一致していたすべてのサーバーがポート443でのサービスを停止しました。」
その頃、GoogleもBrickstormの活動に関する新たなレポートを公開しており、攻撃者が自身の活動が調査下に置かれていることを認識していた可能性が示唆されます。
Volexityは、VerdantBamboo/UNC5221を「高度に洗練された脅威アクター」と評しており、環境寄生型(Living off the Land)手法とマルウェアを組み合わせ、エンドポイント検出・対応(EDR)ソリューションをサポートしないシステムを標的にしていると説明しています。
研究者らは今回調査したUNC5221キャンペーンに関連する侵害の痕跡(IOC)のリストをまとめ、こちらで公開しています。
攻撃者より先に、すべてのレイヤーをテスト
セキュリティチームが記録できる成功した攻撃の割合はわずか54%で、アラートが上がるのはそのうち14%に過ぎません。残りは検出されることなく環境内を移動し続けています。
PicusのホワイトペーパーではBreach and Attack Simulation(侵害・攻撃シミュレーション)がいかにSIEMおよびEDRルールをテストし、脅威が検出をすり抜けるのを防ぐかをご紹介しています。
