コンテンツにスキップするには Enter キーを押してください

中国関連のLapDogsサイバースパイ活動で1,000台以上のSOHO機器がハッキングされる

Image

脅威ハンターたちは、1,000台以上の小規模オフィスおよび家庭用(SOHO)機器が侵害され、中国関連のハッキンググループによる長期的なサイバースパイインフラキャンペーンに利用されているネットワークを発見しました。

このオペレーショナル・リレーボックス(ORB)ネットワークは、SecurityScorecardのSTRIKEチームによってLapDogsと名付けられました。

「LapDogsネットワークは、米国および東南アジアに被害者が多く、規模はゆっくりと着実に拡大しています」と、サイバーセキュリティ企業は今週公開した技術レポートで述べています。

感染が多い他の地域には、日本、韓国、香港、台湾が含まれ、被害者はIT、ネットワーク、不動産、メディア分野に及びます。アクティブな感染は、Ruckus Wireless、ASUS、Buffalo Technology、Cisco-Linksys、Cross DVR、D-Link、Microsoft、Panasonic、Synologyの機器やサービスに広がっています。

LapDogsの中核はShortLeashと呼ばれるカスタムバックドアで、感染した機器をネットワークに組み込むために設計されています。一度インストールされると、偽のNginxウェブサーバーを構築し、「LAPD」という発行者名のユニークな自己署名TLS証明書を生成してロサンゼルス市警察を装います。このリファレンスが、ORBネットワークの名前の由来となっています。

ShortLeashは主にLinuxベースのSOHO機器に侵入するため、シェルスクリプトを用いて配布されていると考えられていますが、Windows版バックドアを提供するアーティファクトも発見されています。攻撃自体は、Nデイ脆弱性(例:CVE-2015-1548CVE-2017-17663)を悪用して初期アクセスを獲得します。

LapDogsに関連する活動の最初の兆候は、2023年9月6日に台湾で検出されており、2回目の攻撃は4か月後の2024年1月19日に記録されています。キャンペーンはバッチで実行され、それぞれ最大60台までしか感染させていないことを示す証拠があります。これまでに合計162の異なる侵入セットが特定されています。

ORBは、PolarEdgeと呼ばれる別のクラスターといくつかの類似点を持つことが判明しています。PolarEdgeはSekoiaによって今年2月に文書化されており、2023年後半から既知のルーターや他のIoT機器の脆弱性を悪用してネットワークに取り込んでいるものの、目的はまだ特定されていません。

これらの類似点を除けば、LapDogsとPolarEdgeは感染プロセスや永続化手法の違い、前者が仮想プライベートサーバー(VPS)やWindowsシステムも標的にできる点から、別個の存在であると評価されています。

「PolarEdgeバックドアが機器のCGIスクリプトをオペレーター指定のウェブシェルに置き換えるのに対し、ShortLeashは単にシステムディレクトリに.serviceファイルとして自身を挿入し、再起動時にもサービスがroot権限で永続するようにしています」とSecurityScorecardは指摘しています。

さらに、中国関連のハッキンググループであるUAT-5918が、台湾を標的とした少なくとも1つの作戦でLapDogsを使用したと中程度の確度で評価されています。UAT-5918がネットワークの背後にいるのか、単なるクライアントなのかは現時点では不明です。

中国の脅威アクターによるORBネットワークの難読化手法としての利用は、Google MandiantSygniaSentinelOneによって以前から記録されており、標的型作戦のプレイブックにますます取り入れられていることを示しています。

「ORBとボットネットはどちらも多くの侵害された正規のインターネット接続機器や仮想サービスで構成される点は共通ですが、ORBネットワークはスイスアーミーナイフのようなもので、偵察、匿名化されたアクターブラウジング、ネットフロー収集からポート・脆弱性スキャン、ノードのステージングやC2サーバーへの再構成、流出データのリレーなど、侵入ライフサイクルのあらゆる段階に貢献できます」とSecurityScorecardは述べています。

翻訳元: https://thehackernews.com/2025/06/over-1000-soho-devices-hacked-in-china.html

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です