新たな報告書により、中国のハッカーが新しい手法を用いて信頼されたソフトウェアコンポーネントを永続的なバックドアへと変えていたことが明らかになり、セキュリティチームにはプロアクティブな脅威ハンティングの採用が促されている。
ReliaQuestはこのキャンペーンを「Flax Typhoon」APTグループによるものとし、同グループは国家支援の可能性が高く、台湾の組織を標的にしたものなど、「精密で高い影響」を与える攻撃で知られている。
報告書によると、攻撃者は正規の公開向けArcGIS(地理情報システム)アプリケーションを標的にした。これは、災害復旧、緊急管理、その他の重要機能のために組織が空間データを管理できるようにするソフトウェアだ。
ReliaQuestは、「単一の侵害で中核業務が混乱し、攻撃者が後に悪用できるインフラの脆弱性などの機微なデータが露出し、さらに相互接続されたエンタープライズおよび運用技術(OT)ネットワークへの横展開の入口にもなり得る」と主張した。
Flax Typhoonに関する詳細: 西側機関、中国が制御するボットネットのリスクを警告
初期アクセスがどのように達成されたかは不明だ。しかし報告書は、アクセス後の活動が、ArcGISサーバーのJavaサーバーオブジェクト拡張(SOE)を改変してウェブシェルとして振る舞わせることから始まったと述べている。
APTグループは、バックエンド計算のためにプライベートな内部ArcGISサーバーに接続された公開向けArcGISサーバーを意図的に選んだ。その後、次を実行した:
- ポータル管理者アカウントを侵害し、悪意のあるSOEを展開
- 標準のArcGIS拡張機能を使って悪意のあるSOEを有効化し、REST操作を呼び出して公開ポータル経由で内部サーバー上のコマンドを実行。これにより活動の隠蔽に役立った
- 「layer」パラメータにbase64エンコードされたペイロードを含む悪意のあるGETウェブリクエストを送信
- リクエストにハードコードされたキーを追加。これはウェブシェルを起動してコマンドを実行するために必要で、外部者がアクセスを改ざんできないようにした
- 長期的なアクセスのため、名前を変更したSoftEther VPNの実行ファイルをアップロード。これにより内部ネットワークの一部であるかのように見せかけ、ネットワークレベルの監視を回避し、横展開と情報流出を可能にした
- スキャンされたサブネット内にある、ITスタッフ所属の2台のワークステーションを標的にした
警鐘
重要なのは、悪意のあるSOEウェブシェルが被害者のバックアップに保存されていたため、復旧対応やパッチ適用後も残存していた点だ。
報告書は、「この静かな足場だけで『ハンズオンキーボード活動』に十分であり、複数ホストにわたる悪意あるコマンド実行、横展開、資格情報の収集を可能にした」と指摘している。
「長期的な侵害を防ぐには、組織はIOCベースの検知を超え、正規ツールにおける異常な挙動をプロアクティブに探索し、あらゆる公開向けアプリケーションを潜在的に高リスクな資産として扱わなければならない。」
このような形で悪意のあるSOEが使用されたのは初めてだったため、ArcGISは内部ドキュメントの更新を余儀なくされた。
ReliaQuestは、「ベンダーが自社のセキュリティガイドラインを書き直さなければならないという事実は、顧客があらゆる公開向けツールを高リスク資産として扱っているという誤った思い込みを示している」と述べた。
「この攻撃は警鐘だ。どれほど日常的で信頼されているものであっても、バックエンドへのアクセスを持つあらゆる侵入口は最優先事項として扱わなければならない。」
翻訳元: https://www.infosecurity-magazine.com/news/chinese-hackers-use-trusted-arcgis/
