デレク・B・ジョンソン著
ReliaQuestの新たな調査によると、中国の国家支援を受けたスパイ活動グループのハッカーたちは、1年以上にわたり人気のあるソフトウェアマッピングツールにバックドアアクセスを維持し、そのツール自身の機能の1つをウェブシェルに変えていたという。
火曜日に公開されたレポートで、研究者たちは、Flax Typhoonというグループが、少なくとも2021年以降、米国、ヨーロッパ、台湾の組織をスパイしてきたが、1年以上にわたり非公開のArcGISサーバーにアクセスしていたと述べている。そのアクセスを獲得し維持するために、グループは「非常に巧妙な攻撃チェーン」を利用し、通常のトラフィックに紛れ込み、被害者がバックアップからシステムを復元しようとしてもアクセスを維持できるようにした。
Esri社が開発したArcGISは、地理空間マッピング用の最も人気のあるソフトウェアプログラムの1つであり、民間組織や政府機関の間で広く利用されている。しかし多くのプログラムと同様に、完全に機能するためにはバックエンドサーバーやその他の技術的インフラに依存している。
例えば、多くのArcGISユーザーは「サーバーオブジェクト拡張(SOE)」と呼ばれるものを利用する。これは、マップやイメージサービスの基本機能を拡張するサービス操作を作成し、カスタムコードを実装できるものだと、ArcGISのドキュメントに記載されている。
攻撃者は、プログラムが計算処理を行うために使用している別のプライベートなバックエンドサーバーに接続された、外部公開されているArcGISサーバーを発見した。彼らはバックエンドサーバーのポータル管理者アカウントを侵害し、悪意ある拡張機能を展開して、外部公開サーバーにグループの「プライベートワークスペース」となる隠しディレクトリを作成するよう指示した。また、ハードコードされたキーで他者のアクセスを遮断し、脆弱性がシステムのバックアップファイルに含まれるまで十分に長くアクセスを維持した。
こうして中国のハッカーたちは、実質的にArcGISを兵器化し、ウェブシェルとしてさらなる攻撃を仕掛けるために利用し、主にソフトウェア自身の内部プロセスや機能を使ってこれを実現した。
ReliaQuestの研究者たちは、リクエストを通常のシステム操作のように構成することで検知ツールを回避し、ハードコードされたキーによって「他の攻撃者や興味本位の管理者によるアクセスの改ざんを防いだ」と記している。
一方でバックアップを感染させることで、Flax Typhoonは最終的に存在が発覚した場合の保険を手に入れた。
「侵害されたコンポーネントがシステムのバックアップに含まれるようにすることで、組織自身の復旧計画を再感染の確実な手段に変えた」とReliaQuestの研究者は主張する。「この手法は安全網をリスクに変えるものであり、インシデント対応チームは今やバックアップを安全策ではなく、再感染の潜在的な経路として扱わなければならない。」
これは、研究者たちが観察してきたFlax Typhoonの行動に一貫して見られる傾向を継続するものだ。つまり、グループは高度なマルウェアやエクスプロイトを使うのではなく、静かに組織自身のツールを自分たちに向けて利用する傾向がある。
2023年、Microsoftの脅威インテリジェンスチームは、Flax Typhoonの「独特な」サイバー諜報活動のパターンを詳細に説明した。このグループは、台湾の「数十」の組織に長期的なアクセスを達成しており、「マルウェアの使用を最小限に抑え、オペレーティングシステムに組み込まれたツールや通常は無害なソフトウェアを利用して、これらのネットワークに静かにとどまっていた」と観察されている。
今年初め、米国財務省は、Flax Typhoonのサイバー攻撃に技術的支援やインフラを提供したとされる北京のIntegrity Technology Groupに経済制裁を科した。この会社は、昨年FBIによって摘発された大規模ボットネットの運用にも関与していたとされている。
だからこそ、ReliaQuestの研究者たちは、今回の調査で明らかになった真の脅威はEsriや特定のベンダー、製品に関するものではないと強調している。本当に懸念すべきは、ほとんどのエンタープライズソフトウェアが、Flax TyphoonがArcGISサーバーを乗っ取るために悪用したのと同じ種類のサードパーティアプリケーションや拡張機能に依存しているという点だ。外部ツールがアクセスを必要とし、それが侵害された際にユーザーに対して悪用される可能性がある限り、同じ脆弱性が存在する。
「ベンダーが自社のセキュリティガイドラインを書き直さなければならない場合、それは顧客がすべての外部公開ツールを高リスク資産として扱うという誤った認識を証明している」と彼らは記している。「この攻撃は警鐘である。バックエンドアクセスを持つあらゆる入口は、どんなに日常的で信頼されていても、最優先事項として扱わなければならない。」
翻訳元: https://cyberscoop.com/flax-typhoon-hinese-state-hackers-arcgis-backdoor-webshell/
