高度標的型攻撃(APT)集団が、標的組織に対するサイバー攻撃用の高度なリレーネットワークを構築するため、侵害したネットワーク機器を積極的に活用していることが分かりました。
UAT-7810として正式に追跡されているこの脅威アクターは、外部からの悪意あるトラフィックを効果的に匿名化するために設計されたインフラ「LapDogs Operational Relay Box(ORB)ネットワーク」の拡散を、現在も積極的に続けています。
Cisco Talosは Cyber Security News(CSN)と共有したレポートの中で、UAT-7810が他の地域の脅威アクターに提供している基盤インフラの性質から判断して、同集団が中国と関連している可能性が非常に高いと述べています。
UAT-5918のような著名な集団とカスタムツールが重複している点が見られるものの、これらの組織はサイバー脅威の全体像の中で、標的や戦略的な展開手法、運用目的が完全に別個であることを維持しています。
この大規模なネットワーク拡大を効果的に進めるため、攻撃者は広く普及しているエッジネットワーク機器プラットフォーム全般にわたるn-day脆弱性の悪用に大きく依存しています。
主な標的は、パッチが適用されていないRuckusの無線ルーターに一貫して絞られており、これは同集団が最初に発見されて以来、継続的に用いてきた実証済みの戦術的アプローチです。
この一連のキャンペーンにおいて、攻撃者はCVE-2020-22653、CVE-2020-22658、CVE-2023-25717として正式に追跡されている既知の脆弱性を積極的に悪用し、標的デバイスへの不正アクセスを取得しています。
最近のフォレンジック調査によると、脅威アクターはCVE-2025-2492を直接悪用することで、 ASUSのAiCloudルーターという全く新しい領域への攻撃的な進出を意図的に進めていることが示されています。
このようなデバイスの多様化は、複数のハードウェアエコシステムにまたがって運用リレーインフラを拡大しようとする集団の一貫した取り組みを物語っています。
新たに入手した運用インフラを分析したセキュリティ研究者は、MIPS、ARM、x64の各アーキテクチャ向けに調整された悪意あるペイロードをホストする、新たな4台のリモートサーバーを発見しました。
初期ダウンロード元として、3つの異なる主要IPアドレスが確実に特定されています。
UAT-7810の継続的な運用の成功は、独自の悪意あるツールの開発を絶え間なく続けている点に支えられています。中でも特筆すべきは、従来のインプラント「SHORTLEASH」から、大幅にアップグレードされた新たな亜種「LONGLEASH」への移行です。
LONGLEASHは、同じ基盤アプリケーションのコードベース上に構築されており、高度なネットワーク機能を組み込むことで、コマンド&コントロール(C2)の中間プロキシサーバーとして即座に機能できるようになっています。
この高度なインプラントは、特定のMIPSプロセッサ上でBoostアプリケーションライブラリの非同期版を利用しており、これにより送信のブロッキング時間を最小限に抑えつつ、ネットワークプロキシの性能を最大化しています。
さらに、構造化されたプロトコルバッファメッセージを処理するためのオープンソースコンポーネントNanopbや、安全な暗号化通信のためのMbedTLSも組み込まれているとTalos Intelligenceは述べています。
脅威アクターは、主要なネットワークインプラントフレームワークの展開にとどまらず、日常的な運用ツールキットとして、これまで文書化されていなかった2種類のバックドア「DOGLEASH」と「JARLEASH」を新たに追加し、その体制を拡充しています。
DOGLEASHは、深く侵害されたLinuxの動作環境向けに特別に設計された、受動型のデジタルバックドアとして問題なく機能します。
自動起動スクリプト経由での実行に成功すると、デバイス本体のファイアウォールルールを変更し、ハードコードされた通信ポートへの恒久的なバインドとリスニングを行い、特定のアプリケーションスレッドを起動させる 暗号化されたTCP通信のリクエストを待ち受けます。
一方でJARLEASHは、攻撃者自身のルーティングインフラ上に選択的に展開される、多用途なJavaベースのリモート管理ツールとしてシームレスに動作し、簡体字中国語で記述された特殊なネットワーク設定を利用します。
翻訳元: https://cyberpress.org/china-apt-expands-orb/