クウェートの組織にレーザーのように焦点を当てる高度なサイバー諜報グループxHuntは、重要インフラに侵入するうえでの先進的な能力を引き続き示している。
海運、輸送、政府部門を標的とした同グループの執拗で複数年にわたるキャンペーンは、中東の企業が直面する脅威環境が進化していることを浮き彫りにしている。
2018年7月に初めて記録された活動以来、xHuntは独創的なアプローチで戦術を洗練させてきた。自作マルウェアにアニメシリーズ「HUNTER×HUNTER」の登場人物の名前を付けるという癖があり、これが意図せずしてグループ名そのものの由来となった。
同グループの作戦上の高度さは、単純なマルウェア展開にとどまらない。xHuntは、特にMicrosoft ExchangeおよびInternet Information Services(IIS)Webサーバーといった、外部公開されたインフラを標的にするうえで卓越した適応力を示している。
2019年から2020年にかけてのキャンペーンでは、同グループはクウェートのある組織のMicrosoft Exchange Serverの侵害に成功した。
そして複数の経路を通じて永続的なバックドアアクセスを確立した。この攻撃ベクターは、被害者ネットワーク内に長期的に潜伏しつつ、ほとんど検知されないまま活動を継続するうえで重要な役割を果たした。
直接コマンド実行のために設計されたカスタムWebシェル「BumbleBee」の展開は、xHuntの運用プレイブックの中核となった。
侵害されたWebサーバーを介して動作するBumbleBeeは、内部システムに対する信頼性の高いコマンド&コントロール機能を攻撃者に提供した。
このツールセットを補完する形で、xHuntはPowerShellベースのバックドア、特にTriFiveとSnugy(CASHY200の亜種)を展開した。これらはWindowsに組み込まれたスクリプト機能を悪用し、疑念を招くことなく永続化と悪意あるコマンド実行を可能にした。
コマンド&コントロールの仕組み
おそらく最も注目すべきは、xHuntのコマンド&コントロール通信に対する創造的なアプローチである。
TriFiveおよびHisokaのバックドアは、従来のC2チャネルを避け、Exchange Web Services(EWS)を武器化する手法を採用している。
これらのバックドアは、侵害されたユーザーのメールボックス内の下書きを読み書きすることで通信し、具体的には「下書き」または「削除済みアイテム」フォルダーを利用する。
オペレーターは、特定の件名とbase64エンコードされたペイロードを含むメール下書きを作成してコマンドを発行し、応答は暗号化されてメールボックスに書き戻される。
ネットワーク内で足場を確立すると、xHuntはPuTTY Link(Plink)を用いたSSHトンネリングにより、内部リソースへ向けた暗号化トンネルを作成する。
この手法は、正規のメールインフラを利用して悪意ある通信を隠蔽するため、検知を著しく困難にする。
xHuntの初期侵入戦略は、忍耐強く体系的な計画性を示している。注目すべきウォータリングホール作戦の一つでは、同グループはクウェート政府のWebサイトを侵害し、受動的なNTLMハッシュ収集を引き起こす隠しHTML画像タグを注入した。
file:// URIスキームを利用して攻撃者が管理するSMB共有を参照させることで、この攻撃は訪問ユーザーの認証資格情報を本人の知らないうちに自動的に取得した。
この手法は、Windowsの認証メカニズムに対する同グループの理解と、偵察目的でそれを悪用する能力を示している。
同グループは、リモートデスクトッププロトコル(RDP)サービスおよび内部のIISサーバーへのアクセスに特に関心を示しており、侵害環境内での横展開と権限昇格に対する体系的なアプローチがうかがえる。
セキュリティと帰属の隠蔽
同グループのインフラ保護戦術は、運用上の成熟度を示している。
インターネットに露出したExchangeサーバー上のWebシェルへ直接アクセスする際、xHuntはPrivate Internet AccessのVPNサービスを経由してトラフィックを中継しつつ、ベルギー、ドイツ、アイルランド、イタリア、ルクセンブルク、オランダ、ポーランド、ポルトガル、スウェーデン、英国といった複数の欧州諸国に所在するサーバー間で継続的に切り替えている。
この意図的な隠蔽戦略は、帰属特定とフォレンジック分析を複雑化し、同グループの真の作戦上の出自を効果的に覆い隠す。
海運、輸送、政府部門にまたがるクウェートの組織への継続的な注力は、xHuntが機会主義的な金銭目的ではなく、特定の戦略目標のもとで活動していることを示唆する。
ツールの高度さ、キャンペーンの持続性、そして作戦セキュリティ対策の創造性は、国家支援または潤沢なリソースを持つ脅威活動を示している。
湾岸地域の組織は、この執拗な敵対者による侵害リスクを軽減するため、Webサーバーのアクセスログ、メールシステムの活動、PowerShellの実行に対する監視を強化するとともに、堅牢な資格情報管理の実践を優先すべきである。
翻訳元: https://gbhackers.com/xhunt-apt-2/
