UNC6508による高度かつ長期にわたるサイバースパイキャンペーンが明らかになりました。UNC6508は中華人民共和国(PRC)と関連するとされる脅威アクターであり、北米の学術・医療・軍事研究機関を組織的に標的としています。
このキャンペーンは少なくとも2023年9月から活動を続けており、1年以上にわたって検知を免れていました。その間、脅威アクターは密かに認証情報を収集し、機密通信を窃取しながら、人工知能、無人車両システム、サイバー攻撃プログラム、国防作戦、医療研究といった分野の研究機関ネットワークに持続的なアクセスを維持し続けていました。
標的となった組織には、世界的に著名な医療機関、トップクラスの学術医療センター、北米の軍事医療機関、専門家団体、医療規制機関などが含まれます。これらの組織を合わせると数千人の職員が在籍しており、研究予算の総額は数十億ドルに上ります。
GTIGはMandiant ConsultingおよびFLAREチームと連携し、悪意あるインフラを無力化するとともに、検知後すぐに被害を受けた組織へ通知しました。
中国関連ハッカーによるREDCapサーバの悪用
このキャンペーンの侵入口は、REDCap(Research Electronic Data Capture)サーバの意図的な標的化でした。REDCapは北米の医療・科学研究コミュニティで広く利用されているウェブベースのプラットフォームで、オンラインデータベースや調査の構築・管理に使用されています。
UNC6508は外部に公開されたREDCapサーバを悪用し、管理者が現行バージョンと並行して稼働させたままにしていた脆弱な旧バージョンのソフトウェアを探索しました。これはREDCapの設計上許可されている機能ですが、脅威アクターはダウングレード攻撃(MITRE ATT&CK: T1689)によってこれを武器として利用しました。
足がかりを確立すると、UNC6508は内部偵察と認証情報の探索を実施し、help.phpという名前のウェブシェルを展開して、REDCapアプリケーション内での持続的なアクセスとファイルアップロード機能を確保しました。
初期侵害から3か月後、UNC6508はINFINITEREDと呼ばれるカスタムマルウェアを展開しました。これは正規のREDCapシステムファイルをトロイの木馬化するモジュール型インプラントであり、ドロッパー/アップグレードインターセプター、認証情報ハーベスター、C2機能を持つバックドアの3つのコンポーネントで構成されています。
ドロッパーはREDCap自体のアップグレードメカニズムに割り込み、新しいバージョンがインストールされるたびにINFINITEREDを再注入することで、ソフトウェアのアップデート後も持続的なリモートアクセスを維持します。
認証情報ハーベスターは認証システムファイルに注入され、ログイン時にPOSTリクエストで送信されるユーザー名とパスワードを密かに収集します。
窃取された認証情報は環境のデフォルト暗号化ルーティンを使って暗号化され、正規のREDCapセッションデータベーステーブルに保存されます。その際、通常のセッションデータに紛れ込ませるため、xc32038474aという文字列がプレフィックスとして付加されます。
バックドアコンポーネントはページが読み込まれるたびに起動し、REDCAP-TOKENという特定のHTTP Cookieパラメータを監視します。正しいCookieが存在する場合、マルウェアはペイロードを復号します。
このコンポーネントは任意のシェルコマンド、生のSQLクエリ、ファイル転送など様々なコマンドを実行でき、脅威アクターに侵害されたサーバへの深く秘密裏な制御権を提供します。
新たなメール窃取手法
初期侵害から1年以上が経過した後、UNC6508は収集したREDCapの認証情報を利用してドメイン管理者アカウントへの横断移動を行いました。次に脅威アクターは、これまでPRC関連アクターでは観測されていなかった手法として、正規のエンタープライズコンテンツコンプライアンスルール機能を悪用し、「Patroit」(手動リスト管理を示唆する意図的なスペルミス)という名前のルールを作成しました。
このルールは正規表現を使って戦略的なキーワードやメールアドレスを照合し、一致した通信を脅威アクター管理下のGmailアドレス(BebitaBarefoot774[@]gmail[.]com)にBCCで密かに転送していました。
収集対象のカテゴリは地政戦略政策、軍事戦略、先端技術、医療研究など広範にわたり、特にチクングニアウイルスへの関心が際立っていました。
このウイルス性疾患は2025年7月から中国の広東省で大規模なアウトブレイクを引き起こしました。GTIGは、この収集の優先事項がPRCの戦略的情報ニーズと直接一致していると評価しています。発見後、窃取に使用されたGmailアカウントは無効化されました。
UNC6508は精緻な作戦保全(OpSec)を実践しており、地理的な検知を回避するために、侵害されたASUSルーター、住宅用プロキシ、VPSインフラを組み合わせた米国ベースの難読化(OBF)ネットワークを通じてすべての攻撃トラフィックをルーティングしていました。
脅威アクターが管理するGmailアカウントは一括アカウント作成サービスを通じて取得されたもので、メール窃取専用に使用されていました。
GTIGはインフラの重複、一貫したINFINITEREDの展開パターン、および歴史的な中国国家支援スパイ活動の利益と一致する標的選定に基づき、この活動をUNC6508に高い確信をもって帰属させています。
侵害インジケーター(IOC)
ネットワーク指標
| 指標 | 種別 | 内容 |
|---|---|---|
BebitaBarefoot774[@]gmail[.]com |
メール | 脅威アクターが管理するメール窃取用アカウント |
23.169.65.49 |
IPアドレス | 管理者ログインの発信元(侵害されたASUSルーター) |
ファイル指標(SHA256ハッシュ)
| 説明 | SHA256ハッシュ |
|---|---|
永続化(help.php) |
ba6b73b0ca0dc7f86b3b397893ac32d729fd53f9df20643288f141f29d020af7 |
| 認証情報ハーベスター | db65c1b9f9e4cb4d729f45ad4b6fcf3e277caf9eb4c875425dec93fd883f9136 |
| 認証情報ハーベスター | c1ac43d23f89d41eb4ff131678ab562ab2cfed9aa334b13767ef141d303b0e5b |
| バックドア | 8f0158855a656b629ca76ebca565f18bc25563ded34b65d6771632c20edb68ec |
| バックドア | 51a57bfc9ed3eb6451c1c289607814d59e1698c666fb97ac5f694c398f23d045 |
| ドロッパー | 4efbef69eb3b09bacff892d6a55778d07c418e7f15eba3cf1245e8cdfd8dda0b |
| ドロッパー | 58bb25777e0aa86bcd2125101e0bca4e8732b03d91bd8d2f205b446a2a8d5c86 |
ホスト指標
| 指標 | 説明 |
|---|---|
b49e334d-9c01-463e-9bc5-00a6920fb66e |
アップグレード傍受に使用されるINFINITERED GUIDデリミタ |
xc32038474a |
盗まれた認証情報に使用されるINFINITERED REDCapセッションデータベースのプレフィックス |
注意:IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ元の形式に戻してください。
翻訳元: https://gbhackers.com/prc-nexus-hackers-abuse-redcap-servers/
