中国と連携するスパイグループが使用するバックドアが、LinuxからWindowsへと対象を広げ、侵害の検知に防御側が頼るツールから自身を隠すカーネルレベルのステルス機能を新たに獲得しました。
ESETによる新たな分析により、SprySOCKSのWindowsバージョンが2種類新たに発見されました。SprySOCKSは、中国を拠点とし、請負業者I-Soonと広く結びつけられているグループ「FishMonger」に帰属するバックドアです。
WIN_DRVおよびWIN_PLUSと名付けられた2つのバージョンには、ハードコードされたコマンド&コントロール(C2)設定と豊富なスパイ機能が搭載されています。
ESETのテレメトリにより、2023年および2024年の実際の活動が追跡されており、主にホンジュラス、台湾、タイ、パキスタンの政府機関が標的となっていました。SprySOCKSは2023年にLinuxバックドアとして初めて記録されています。
カーネルへの潜伏
2つの中でよりステルス性の高いWIN_DRVは、ルートキットとして機能するカーネルドライバを利用し、マルウェアのファイル、プロセス、レジストリキー、ネットワーク接続を隠蔽します。これにより、netstatなどのツールには一切表示されなくなります。
また、攻撃者が自身の存在を明かさずにバックドアへアクセスすることも可能にしています。パケット内に特定のマーカーが現れると、任意の開放ポートからバックドアの隠されたポートへ静かにトラフィックを転送し、実際の通信先を見えないようにします。
関連記事:FishMonger APTグループ、スパイキャンペーンでI-Soonとの関連が判明
2つのバリアントはいずれも、TCP、UDP、WebSocketの3つのチャネルを通じて攻撃者と通信し、クライアントまたはサーバーとして機能します。合わせて30以上のコマンドをサポートしており、その内容は以下のとおりです。
-
システムおよびネットワーク偵察
-
プロセスの列挙と終了
-
サービスの作成、制御、削除
-
ファイルの一覧表示、転送、削除、実行
-
トンネリング用の組み込みSOCKSプロキシ
このバックドアは、有効化するとキーストロークやクリップボードの内容をログに記録することもでき、さらにWindowsファイアウォールに自身のトラフィックを通過させるルールを静かに追加します。
より広範なスパイツールキットの一部
Earth LuscaおよびAquatic Pandaとも呼ばれるFishMongerは、Winntiグループの傘下に位置し、中国の成都を拠点に活動していると見られています。
同グループのツールキットはすでにShadowPad、Cobalt Strike、Biopass RATに及んでおり、中国の請負業者I-Soonによって運営されていると見られています。I-Soonの従業員は、ハッキング請負活動を巡り2025年3月に米国で起訴されています。
ESETは攻撃者の侵入経路を確認できていませんが、FishMongerは通常、パッチが未適用のインターネット公開サーバーを悪用します。デバイス上では、マルウェアはDLLサイドローディングを通じて正規の署名済みWindowsファイルに紛れ込み、スタートアップ時に実行されるよう設定します。
最も懸念されるのは、一部の攻撃がさらに深部、すなわちWindows自体よりも先に読み込まれるUEFIブートキットにまで達している可能性を示す限られた兆候をESETが発見した点です。同社は防御側に対し、このグループを注意深く監視するよう強く促しています。
翻訳元: https://www.infosecurity-magazine.com/news/sprysocks-backdoor-windows/
