中国のハッキンググループが、侵害した欧州の政府ネットワークを中継ノードとして利用し、コマンドのルーティングや他のハッキング作戦の支援を行っている。
セキュリティ企業Check Pointは、このキャンペーンを同社が「Ink Dragon」として追跡している中国のサイバー諜報グループによるものだと帰属させた。今回の最新キャンペーンは、同グループが欧州のネットワークを標的にしていることが確認された初めての事例だ。これまでは主にアジアおよび南米の被害者を狙っていた。
同社によれば、Ink Dragonの手口の重要な特徴は、侵害した組織をコマンド&コントロール(C2)に利用する点にある。「その結果、欧州の被害者が、追加の欧州機関に対する活動だけでなく、アフリカや東南アジアの標的に対する活動の開始にも利用されていることを確認した。」
このキャンペーンは、攻撃者が外部公開されているアプリケーションの脆弱性を悪用することから始まった。これにはMicrosoft SharePointのToolShellエクスプロイトが含まれる(参照: 侵害まとめ: 中国はToolShellを事前にのぞき見していたのか?)。
ハッカーはViewStateのコードインジェクションも実行し、ASP.NETを用いて、ユーザー操作の合間にフォームなどのWebページ状態を保持する機能を悪用し、悪意のあるコードを注入した。
中継ネットワークを構築するため、攻撃者は中国の国家主体ハッキングに関連付けられるバックドア基盤であるShadowPadを展開した。他のマルウェアのバックドアとは異なり、Ink DragonのShadowPad亜種は、MicrosoftのHttpAddUrlアプリケーション・プログラム・インターフェース(API)を通じて新しいURLリスナーを直接登録し、攻撃者が受信HTTPリクエストを傍受できるようにする。これによりShadowPadは正規のInternet Information Services(IIS)サーバーとして機能し、適切な応答を返しつつ、バックドア向けの受信トラフィックも処理できた。
「その結果、隠されたC2チャネルを完全に制御しながら、サーバーの通常のトラフィックパターンに溶け込む、検知が困難なインプラントとなる」とCheck Pointの研究者は述べた。
一部のケースでは、攻撃者は侵害した欧州のネットワークを、他の標的環境で活動するShadowPadクライアントのためのアクセスノードとして機能する中継(ホップ)として利用している。
ハッカーはまた、これまで確認されていないFinalDraftの新バージョンも展開した。これはリモートアクセス型トロイの木馬(RAT)で、OutlookにおけるMicrosoft Graph APIの機能を悪用してOAuthトークンを傍受するとともに、正規のクラウドメールのフロー内にC2トラフィックを隠蔽する。
Check Point ResearchのグループマネージャーであるEli Smadja氏は、このFinalDraft亜種について「正規のクラウドおよびメールの通信チャネルにトラフィックを紛れ込ませることで、疑念を招くことなく長期間にわたりネットワーク内で活動できる」と述べた。このマルウェアは「静かで長期的な諜報活動のために特化して作られている」という。
Smadja氏によれば、Ink Dragonの活動は、政府や公共サービスのインフラネットワークなど、戦略的価値の高い分野に焦点を当てた長期的な諜報という、より広範な中国の情報目的と一致している。
翻訳元: https://www.databreachtoday.com/chinese-hackers-hijack-european-networks-for-espionage-a-30319
