中国系APT、新たなマルウェアでプロキシネットワークを拡大

中国と関連のあるハッキング集団が、サイバー攻撃を偽装するために利用する乗っ取り済みデバイスのネットワークを拡大していることが、研究者の調査で明らかになりました。同集団はこのネットワークに、新たに発見された複数の独自マルウェアを組み込んでいるといいます。

Cisco Talosは発表の中で、同社がUAT-7810として追跡している高度persistent脅威(APT)グループが、Operational Relay Box(ORB)と呼ばれるネットワークを構築したと述べています。これは侵害されたルーターなどのデバイスから成るメッシュ network で、他のハッカーが自らの通信を経由させ発信元を隠すために利用します。

Talosは、UAT-7810が中国と関連のあるグループであると高い確信度で評価しています。

他のハッカー向けのリレーネットワーク

同社によると、UAT-7810は2025年に初めて明らかになったLapDogsとして知られる長期稼働のORBネットワークを維持しており、その役割は基本的に他者のためのインフラを構築することにあったといいます。

十分な数のデバイスを静かに乗っ取った後、別の中国系APTグループがこのリレーネットワークを利用し、価値の高い標的に対する自らのスパイ活動を隠すことができるようになります。

ネットワークを拡大するため、同グループは既知でありながら未パッチの脆弱性を悪用してエッジデバイスに侵入しました。これは、組織が修正パッチを適用していないことに依存する、労力の少ない手口です。

研究者らによると、同グループは2025年以降Ruckusの無線ルーターの脆弱性を標的にしており、今年に入ってからはASUSのルーターの脆弱性の悪用も開始し、これらもネットワークに組み込んでいるとのことです。

LapDogs ORBネットワークについて詳しくはこちら: Chinese “LapDogs” ORB Network Targets US and Asia

拡大するマルウェアツールキット

Talosによると、UAT-7810はLONGLEASHと呼ばれるアップグレード版バックドアを開発中です。これは以前のツールを進化させたもので、プロキシ機能が追加されているほか、他の感染マシンへコマンドを中継することも可能です。

同社はさらに、これまで知られていなかった2種類のバックドアも発見しました。侵害されたLinuxデバイス上でコマンドを実行するDOGLEASHと、同グループのサーバー管理に使われるJavaベースのツールJARLEASHです。

JARLEASHの設定ファイルには簡体字中国語のコメントが含まれており、Talosはこれを中国語話者のオペレーターが関与している兆候だとしています。同社はまた、MIPSベースのデバイスを対象としたテストプログラムも発見しており、これは同グループが自らのネットワークを構成する多様なハードウェア向けにツールの改良を続けていることを示すものです。

これらの調査結果は、同グループのマルウェアやサーバーに対するTalos自身の追跡調査によるものであり、同社はこれらが依然として稼働中であるとしています。

翻訳元: https://www.infosecurity-magazine.com/news/uat-7810-china-apt-orb-proxy/

ソース: infosecurity-magazine.com