中国のFlax Typhoonが地理情報マッピングサーバーをバックドアに変える

出典：Wavebreakmedia Ltd（Alamyストックフォト経由）

研究者たちは、中国の高度な持続的脅威（APT）グループによる「警鐘」となるタイプの攻撃を発見しました。この攻撃は、地理空間マッピングアプリケーションを通じて、1年以上にわたり組織へのバックドアアクセスを確立していました。

サイバーセキュリティベンダーReliaquestのブログ投稿で、研究者たちは、Flax Typhoonとして追跡されている悪名高い脅威グループが、ソフトウェアメーカーEsriの広く知られた地理マッピングプラットフォームArcGISのコンポーネントを操作して「非常に巧妙な攻撃チェーン」を構築した方法を詳述しています。研究者たちは、Flax Typhoonの関係者が組織の公開ArcGISサーバーを侵害し、そのアクセスを利用して信頼されたアプリケーションをバックドアに変えていたことを発見しました。

「この攻撃は警鐘です。バックエンドアクセスを持つあらゆるエントリーポイントは、どれほど日常的・信頼されているものであっても、最優先事項として扱うべきです」とReliaquestのアナリスト、Alexa Feminella氏とJames Xiang氏はブログ投稿で述べています。

ArcGISをWebシェルに変える

ReliaquestはArcGISの顧客の潜在的な侵害を調査し、ゼロデイ脆弱性や設定ミスが関与していないことを確認した後、Flax Typhoonの高度さと創造性を示す独自の攻撃を明らかにしました。

研究者たちは、脅威アクターがArcGISのJavaサーバーオブジェクト拡張（SOE）を改変することで、1年間にわたり組織へのアクセスを確立していたことを発見しました。SOEはユーザーが地図や画像のサービス操作を作成できるものですが、これをWebシェルに変えていました。Flax Typhoonは、ArcGISのポータル管理者アカウントを侵害することでこれを実現したと研究者たちは説明しています。

「攻撃者は、バックエンド計算用にプライベートな内部ArcGISサーバーに接続された公開ArcGISサーバー（一般的なデフォルト構成）を発見しました」とFeminella氏とXiang氏は記しています。

ArcGISのドキュメントによると、公開ポータルはプロキシとして機能し、Webアダプターを通じて内部サーバーにコマンドを転送します。攻撃者は偽装したコマンドをポータルサーバーに送信し、サーバー内に隠しシステムディレクトリを作成しました。これが実質的にFlax Typhoonのプライベート作業スペースとなり、ハードコードされたキーも備わっていたと研究者たちは述べています。

さらに、Flax Typhoonの攻撃チェーンは、悪意のあるSOEがシステムの完全なリカバリー後も残るようにしていました。「グループの永続化手法はさらに陰湿でした。侵害されたコンポーネントがシステムバックアップに含まれるようにすることで、組織自身のリカバリープランを再感染の確実な手段に変えたのです」とFeminella氏とXiang氏は記しています。

Flax Typhoonの脅威の緩和

Reliaquestは、顧客組織およびEsriと協力し、Flax Typhoonの関係者を環境から完全に排除しました。これにはサーバースタック全体の再構築や、脅威活動に対するカスタム検知の導入が含まれます。

ArcGISへの攻撃は、地理情報マッピングソフトウェアを標的とした他の注目すべき脅威活動に続くものです。先月、サイバーセキュリティ・インフラストラクチャ庁（CISA）は、連邦政府の大規模な無名の民間行政機関が、オープンソースの地理空間データサーバーGeoServerの脆弱性を通じて2024年に侵害されたことを明らかにしました。

EsriのスポークスパーソンはDark Readingに対し、同社は他の組織がこの種の攻撃の影響を受けたという証拠や報告を受けていないと述べています。

Reliaquestもまた、悪意のあるArcGIS SOEによって侵害された他の組織の証拠は見つかっていないと述べています。「ただし、レポートの主な警告は、コンポーネント自体はArcGIS特有であっても、手法自体はそうではないという点です」と同社のスポークスパーソンは述べています。「永続化の方法は独特ですが、セキュリティのベストプラクティスが想定されているだけで実際には徹底されていない、あらゆる公開アプリケーションで同様のことが起こり得ます。したがって、多くの組織が、正規コンポーネントの巧妙な改変を利用した同じ攻撃チェーンに脆弱である可能性が高いのです。」

Reliaquestは、すべての公開アプリケーションを高リスク資産として扱うよう組織に強く促しています。そのために、研究者たちは、どれほど日常的なものであっても、セキュリティチームがこうしたアプリケーションの監査と強化を行うことを推奨しています。Feminella氏とXiang氏はまた、Flax Typhoonがマルウェアや既知の悪意あるファイルを一切使用しなかったことを強調し、シグネチャベースの検知を補完するための行動分析の必要性を示しています。

研究者たちはまた、「弱い管理者パスワード」が攻撃者に組織ネットワークへの足がかりを与えたことに言及し、強力な認証情報の管理の重要性を強調しています。Reliaquestは、強力でユニークなパスワードの徹底に加え、多要素認証の導入と最小権限の原則の実践を推奨しています。