レガシーウェブサーバーは、何ヶ月にもわたって通常のインフラコンポーネントとして見過ごされることが少なくありません。その間、水面下に潜む攻撃者は内部ネットワークへの初期アクセス経路を静かに構築しています。ReliaQuestは最近、このような巧妙な侵害事例を記録しました。侵入者はOP-512と呼ばれる未分類の中国系サイバースパイ集団と特定されています。
侵入の解剖
ReliaQuestは、OP-512が中国に関連しているとの判断を中〜高の信頼度で示しています。同グループが主に標的としたのは、インターネット インフォメーション サービス(IIS)サーバーでした。このホストはWindows Server 2016上で稼働しており、時代遅れの.NET Framework 4.0プラットフォームを使用していました。このフレームワークバージョンのライフサイクルサポートは2016年に終了しています。その結果、このサーバーは外部の攻撃者にとって極めて格好の標的となっていました。
攻撃チェーンの全体像
ウェブシェル展開における暗号的固有性
この攻撃オペレーションの最大の特徴は、カスタム開発されたウェブシェル群の使用でした。ウェブシェルとは、攻撃者が標準的なブラウザを通じてホストを管理できるようにする悪意のあるファイルです。OP-512はアクセスを確保するために、3種類のウェブシェルを同時に展開しました。重要なのは、各インストールが暗号学的な観点から完全にユニークであった点です。そのため、シグネチャベースの防御機構はこれらのファイルの検出に苦労します。すべてのインスタンスが、まったく異なるデジタルフットプリントを持っています。
主要なウェブシェルはローカルファイルマネージャーとして機能しました。さらに、自身の位置情報テレメトリを操作者へ自律的に送信する機能も備えていました。ページの初期化時にスクリプトは自身のURL構造をエンコードし、攻撃者が管理するドメインへのクエリを通じてそのデータを送信します。この主要な方法が失敗した場合、モジュールは冗長なフォールバックチャネルを利用します。具体的には、隔離されたコマンドサーバーへHTTPリクエストを送信する仕組みになっていました。
リモートコマンド実行と権限昇格
残り2つのウェブシェルは、リモートコマンド実行のワークフローを管理していました。いかなるコマンドも実行する前に、受信したペイロードを復号化し、デジタル署名を慎重に検証する仕組みになっていました。有効な暗号鍵を受け取った場合にのみ機能するという点も重要です。この厳格な設計により、侵入フレームワーク内の操作制御が分離されていました。その結果、たとえ1つの鍵が漏洩しても、インストールされたすべてのコンポーネントを制御することはできない仕組みになっていました。
迅速な侵入戦術
調査ログにより、主要な展開フェーズの75日前に初期的な痕跡が残されていたことが判明しました。その後、攻撃者は再び標的に戻り、わずか数時間でウェブシェルを展開しました。複数のコマンドパスを確立し、急速な権限昇格を試みています。これを実現するために、BadPotato、SweetPotato、EfsPotato を展開しました。これらの専用ツールは、Windowsのネイティブアーキテクチャにおける欠陥を悪用して、システムの昇格した権限を取得します。
修復回避とフォレンジック証跡の改ざん
エンドポイントの防御機構は悪意あるプロセスの終了に成功しましたが、侵入自体は続きました。IISアーキテクチャは、プロセスが突然終了した際にワーカープロセスを自動的に再起動する仕組みを持っています。そのため、悪意のあるユーティリティはシステムメモリに繰り返しロードされ続けました。ReliaQuestは、ホストを隔離せずにプロセスを終了するだけでは無限ループを生み出すと指摘しています。防御が何度も発動する一方で、悪意ある活動は継続していた形です。
一時コンパイル成果物への対処
ASP.NETの一時的な成果物も、調査担当者に別のフォレンジック上の課題をもたらしました。初回実行時、プラットフォームは悪意あるスクリプトをローカルのDLLファイルにコンパイルします。これらのライブラリは、元のウェブシェルが削除された後も長期間残存する可能性があります。そのため、フォレンジック調査員はASP.NETの一時コンパイルディレクトリを入念に監査・削除する必要があります。
さらに、OP-512はファイルのタイムスタンプを偽装しようとしました。ウェブシェルは隣接するファイルをスキャンし、自身の作成日時を偽装します。この手法により、レガシーサーバーの既存コンテンツに見事に溶け込むことができます。最終的に、この手口はタイムスタンプに依存した基本的なフォレンジック検索を困難にします。
戦略的な防御の見直し
ReliaQuestは、OP-512をレガシーIISインフラを標的とした最近の中国系脅威クラスターの中で、少なくとも4番目と分類しています。ただし、OP-512はCL-STA-0048、GhostRedirector、DragonRankといった既知のオペレーションとは一線を画しています。個別の手法に共通点はあるものの、ツールセットとインフラは大きく異なります。
これを受けてReliaQuestは、時代遅れの.NET Frameworkを使用している組織は移行を加速させるか、これらの公開向けアセットを直ちに隔離するよう警告しています。セキュリティチームはファイルアップロードディレクトリとASP.NETの一時フォルダを注意深く監視する必要があります。また、IISプロセスから発生する異常なDNSクエリの監査や、ウェブサーバーによって生成されたコマンドライン命令の精査も不可欠です。
ReliaQuestは、レガシーIISインフラを標的とした侵害が2026年から2027年を通じて継続する可能性が高いと予測しています。これらのサーバーがインターネットに公開されている限り、この脅威は現役であり続けます。そのため、既知のグループに合わせた標準化された検出ルールだけでは、もはや十分とは言えません。OP-512は、現代の脅威アクターが従来のセキュリティベースラインを回避するためにツールセットを迅速に適応させることを、改めて示しています。
翻訳元: https://meterpreter.org/op-512-threat-group/
