Flax Typhoonは信頼されたESRIのマッピングツールをウェブシェルに変え、持続的なアクセスを獲得した。
高度持続的脅威(APT)グループであるFlax Typhoonは、マッピングツールArcGISに1年以上にわたり持続的なアクセスを獲得し、複数の企業を危険にさらしていた。
ArcGISはESRIによって開発された地理空間プラットフォームで、組織が地理的な文脈でデータを理解・分析するためによく利用されている。
中国を拠点とするFlax Typhoon(別名Ethereal Panda)は、ReliaQuestの新たな調査によると、地図作成アプリケーションのJavaサーバーオブジェクト拡張(SOE)を機能するウェブシェルに改造した。
Flax Typhoonは、排他的な制御のためにハードコードされたキーでアクセスを制限し、それをシステムバックアップに埋め込んだ。これにより、攻撃者はシステムの完全なリカバリ後も生き残る深く長期的な持続性を実現した。持続性、横展開、認証情報の収集を優先し、主に公開サーバーの脆弱性を突いて初期アクセスを獲得し、ウェブシェルを展開し、VPN接続を確立していたと同社は指摘している。
「攻撃手法はますます高度化しており、マルウェアを作成・注入するのではなく、PowerShellやカスタムSOE、公開ポータル接続など、信頼されたコンポーネントやツールの侵害・操作にシフトしている」とCounterpoint Researchの副社長Neil Shah氏は述べた。「このため、すでに確立されたベースラインや高い信頼性があるために、企業がホワイトリストに登録しているアプリケーションやツールの開発者に責任があるとして見逃される可能性がある。」
ArcGISをウェブシェルに変える
この活動は、ArcGISサーバーのSOEをウェブシェルとして動作するように改造することから始まったとReliaQuestは説明している。攻撃者は、バックエンド計算用にプライベートな内部ArcGISサーバーに接続された公開ArcGISサーバー(一般的なデフォルト構成)を発見した。その後、base64でエンコードされた(偽装された)コマンドをポータルサーバーに実行し、このプロキシモデルに沿った動作を行った。
初期実行のために、攻撃者はlayerパラメータにbase64エンコードされたペイロードを含む悪意のあるGETウェブリクエストを送信した。デコードすると「cmd.exe /c mkdir C:\Windows\System32\Bridge」となり、サーバーにBridgeという隠しシステムディレクトリを作成させるものだった。これは攻撃者のプライベートな作業領域となる。リクエストにはハードコードされたキーが付加されており、これがウェブシェルを発動しコマンドを実行するために必要だった。
その後も同じウェブシェルを繰り返し悪用し、同じ「JavaSimpleRESTSOE」拡張と「getLayerCountByType」操作を経由して追加のエンコードされたPowerShellコマンドを実行した。この一貫した手法により、通常のサーバートラフィックに紛れながら目的を進めることができた。
ウェブシェルが機能することを確認した脅威アクターは、「whoami」などの探索コマンドを使ってローカル管理者権限を持つ侵害済みサービスアカウントを特定し、後で使用するツールのステージングエリアとなる新たなディレクトリを作成した。
活動はさらに拡大し、Secure Shell(SSH)、HTTPS、Server Message Block(SMB)、Remote Procedure Call(RPC)など様々なプロトコルで内部ネットワークをスキャンし、複数の内部サブネットでSMBスキャンを実行した。次に、長期的なアクセスを確立するため、リネームしたSoftEther VPN実行ファイル「bridge.exe」をデフォルトのWindows System32ディレクトリにアップロードし、検知の可能性を低減した。悪意あるSOEも継続的なアクセスを提供し、ArcGISサーバー上に長期間存在していたため、被害者のバックアップにも保存されていた。
誰がリスクにさらされているのか?
ArcGISによって確認された最初の事例では、悪意あるSOEが使用され、ReliaQuestはArcGISポータル管理者アカウントのパスワードが出所不明のリートパスワードであったことを特定し、攻撃者が管理者アカウントにアクセスしパスワードをリセットできたことを示唆している。
「ArcGISをネットワーク環境で利用している組織で、外部または他の企業データシステムに公開されている場合は、リスクにさらされています」とPrimus Partnersの共同創業者兼MDのDevroop Dhar氏は述べた。「主なリスクは、攻撃者が侵害された拡張機能を使ってアクセスを維持し、機密データを持ち出せることです。ArcGISは地図作成、物流、公共部門の計画などで広く使われているため、ネットワークマップ、人口記録、インフラ配置図など、機密性の高いデータを持っています。」
その結果、多くの企業にとって懸念されるのは、即時の混乱だけでなく、静かに観察されることでもある。攻撃者がインフラや物流を追跡するシステム内部に潜んでいれば、それは深刻な情報上の優位性となる。
「侵害の有無を確認するには、まず自社環境内のすべてのArcGIS Serverバージョンを完全に棚卸しし、使用中のすべてのServer Object Extension(SOE)およびServer Object Interceptor(SOI)を列挙することから始めるべきです」とAnkura Consultingインド担当シニアマネージングディレクターのAmit Jaju氏は述べた。「次に、これらを既知のソースやベンダーのハッシュ値と比較し、不正な変更を検出します。異常なSOE JARファイルやクラス構造、ハードコードされたトークンや暗号鍵、不審な管理者アクティビティログ、セキュリティ研究者が特定したウェブシェルの兆候などを詳細に調査してください。」
Jaju氏は、CISOはバックアップやAMIも見落とさず、悪意あるSOEが仕込まれていないか、ゴールデンイメージの完全性を確認することも重要だと付け加えた。
対策としては、直ちに影響を受けたArcGISサーバーを隔離し、関連するすべてのサービスアカウントやシークレットをローテーションし、ArcGISサービスIDには厳格な最小権限制御を適用すること。「侵害されたシステムは、既知の良好なメディアからのみ再構築し、署名済みかつ独立してレビューされた拡張機能のみを再展開してください。可能であれば、すべてのSOEに対してコード署名検証を強制し、改ざんを防ぎましょう。最後に、監視体制を強化し、SOEの悪用や異常なArcGIS管理エンドポイントの活動を検知する仕組みを追加し、KEVだけに頼らず複数のフィードに購読することで脅威インテリジェンスの多様化を図ってください」とJaju氏は述べた。
信頼されたソフトウェアが新たな攻撃対象に
セキュリティアナリストは、Flax Typhoonの事例は従来型マルウェアの展開ではなく、信頼されたコンポーネントの武器化が進化していることを浮き彫りにしていると指摘する。
2023年には、同グループが台湾の多数の組織を標的にスパイ活動を行った可能性が高いとMicrosoftは報告している。2020年には、SolarWindsがハッカーの標的となり、SolarWinds Orion IT監視・管理ソフトウェアに悪意あるコードが仕込まれ、世界中の数千の企業や政府機関が利用していた。
2023年3月には、3CXが深刻なソフトウェアサプライチェーン侵害を受け、WindowsおよびmacOSアプリケーションの両方に悪意あるコードが仕込まれた。
専門家によれば、脅威アクターは信頼されたベンダーモジュールを侵害すれば自由にアクセスできることに気づいている。そのため、ベンダーソフトウェアをデフォルトで安全とみなすべきではない。「信頼されたプラットフォームも継続的な検証が必要です。定期的なコード完全性チェック、ベンダーアップデートの厳格な監視、統合システムの定期的なペンテストが不可欠です」とDhar氏は付け加えた。
CISOはまた、ベンダーにSBOM(ソフトウェア部品表)や自社のセキュリティテスト・開示プロトコルの詳細など、透明性と明確性の提供を求めるべきだとDhar氏は述べた。「また、権限の分離も重要です。信頼されたベンダーのモジュールだからといって、ネットワーク内のすべてにアクセスする必要はありません。」
AIを効率的に活用し、行動分析における異常をリアルタイムで監視し、単なる一時点ではなく長期的な履歴と比較することが重要だとShah氏は付け加えた。
