中国の国家系ハッカーは、ArcGIS地理情報マッピングツールのコンポーネントをウェブシェルに変えることで、標的環境に1年以上も検知されずに潜伏していました。
ArcGIS地理情報システム(GIS)はEsri(Environmental Systems Research Institute)によって開発されており、基本機能を拡張できるサーバーオブジェクト拡張(SOE)をサポートしています。
このソフトウェアは、自治体、公益事業、インフラ運営者によって、地図を通じて空間および地理データの収集、分析、可視化、管理に利用されています。
サイバーセキュリティ企業ReliaQuestの研究者は、脅威アクターが中国のAPTグループであると確信しており、中程度の確信度でFlax Typhoonであるとしています。
BleepingComputerに共有されたレポートによると、ハッカーは有効な管理者資格情報を使って、プライベートな内部ArcGISサーバーに接続された外部公開ArcGISサーバーにログインしました。
攻撃者はアクセス権を利用して、REST APIパラメータ(layer)を通じてbase64エンコードされたコマンドを受け付け、内部ArcGISサーバー上で通常の操作として見える形で実行する悪意あるJava SOEをウェブシェルとしてアップロードしました。
このやり取りはハードコードされた秘密鍵によって保護されており、攻撃者だけがこのバックドアにアクセスできるようになっていました。
ArcGISからSoftEther VPNへ
永続化を確立し、ArcGISポータルを超えた能力を拡張するために、Flax Typhoonは悪意あるSOEを使ってSoftEther VPN Bridgeをダウンロード・インストールし、システム起動時に自動で開始するWindowsサービスとして登録しました。
起動すると、攻撃者のサーバー(172.86.113[.]142)へのアウトバウンドHTTPSトンネルを確立し、被害者の内部ネットワークを脅威アクターのマシンに接続しました。
VPNはポート443の通常のHTTPSトラフィックを使用し、正規の通信に紛れ込んでいました。SOEが検知・削除されたとしても、VPNサービスは引き続きアクティブなままでした。
VPN接続を活用することで、攻撃者はローカルネットワークのスキャン、横移動、内部ホストへのアクセス、資格情報のダンプやデータの持ち出しなどを、ウェブシェルに依存せずに実行できました。
ReliaQuestは、標的組織のITスタッフが所有する2台のワークステーションを標的とした不審な行動を観測しており、ハッカーがSecurity Account Manager(SAM)データベース、セキュリティレジストリキー、LSAシークレットのダンプを試みていました。
「これらは明らかに、ネットワーク内での足場を強化するために必要な資格情報を得るための、特権昇格を狙った“手動操作”の試みでした」と研究者は述べています。
「特に注目すべき観察結果は、“pass.txt.lnk”というファイルがディスクに書き込まれ、アクセスされたことで、Active Directory(AD)環境内で横移動し、追加システムを侵害するための積極的な資格情報収集が行われていたことを示唆しています」 – ReliaQuest
Flax Typhoonは、政府、重要インフラ、IT組織を標的とすることで悪名高く、しばらく前から“Living off the Land”バイナリのような回避戦術を使ってきましたが、SOEの悪用は新しい手法です。
この脅威グループは、正規ソフトウェアを使った長期的かつステルスなアクセスを確立するスパイ活動で知られています。
FBIはFlax Typhoonを米国に影響を与えた大規模な「Raptor Train」ボットネットに関連付けており、今年初めには米財務省外国資産管理局(OFAC)が国家支援ハッカーを支援した企業に制裁を科しました。
Ersiは、SOEがこのような形で悪用されたのは初めて見たと認めており、今後は悪意あるSOEのリスクについてユーザーに警告するため、ドキュメントを更新すると述べています。
