TokyoBlackHatNews

gbhackers.com 4分で読了

中国のハッカー、侵害したサーバーをShadowPadノードに変換

Check Point Researchの調査によると、Ink Dragonとして追跡されている高度な中国系脅威アクターが、カスタムのShadowPad IIS Listenerモジュールを武器化し、侵害したサーバーを分散リレーノードへと変換している。

この戦術は同グループの運用能力の大幅なエスカレーションを示しており、攻撃者が世界中の被害組織にまたがる永続的で多層的なコマンド&コントロール(C2)基盤を構築できるようにする。

Ink Dragonは、Earth Alux、Jewelbug、REF7707、CL-STA-0049などの別名でも知られており、少なくとも2023年初頭以降、政府、通信、公共部門のインフラを標的とした持続的なキャンペーンを展開していることを 指摘 している。

同グループは当初、東南アジアと南米に作戦を集中させていたが、最近の活動では欧州の政府機関を標的とする焦点の拡大が明らかになっており、諜報活動の地理的多様化を示している。

カスタムのShadowPad IIS Listenerモジュールは、同グループのインフラ戦略における技術的要となっている。

攻撃者はこのモジュールを複数の侵害サーバーに展開することで、侵害された各資産を、コマンドの受信・転送・プロキシが可能な通信ノードへと実質的に変換する。

この分散メッシュ型アーキテクチャにより、攻撃者は単一組織のネットワーク内でより深部へトラフィックを迂回させるだけでなく、まったく別の被害ネットワーク間をまたいでルーティングすることも可能になる。

その結果、単一の侵害が、進行中のキャンペーンを支えるグローバルで多層的なリレーネットワークにおける新たな中継点となる。

ShadowPad IIS Listenerを発見

このモジュールは非常に高度に動作し、正規のIISコンポーネントを装いながら、秘匿されたコマンド&コントロール機能を提供する。

「C:\inetpub\wwwroot」のようなパスや、「Microsoft-IIS/10.0」のようなサーバー種別文字列など、現実的な既定設定を用いて、標準的なWindows Serverインストールにシームレスに溶け込む。

リスナーは、攻撃者が設定したURLパターンに一致するHTTPリクエストを傍受しつつ、条件に合致しないリクエストは通常のIISトラフィックとして処理することで、運用上の秘匿性を維持する。

標的ネットワークへの初期侵入は、古くから知られているものの依然として残存する脆弱性の悪用に依存している。Ink Dragonは、公開されているmachine keyを通じたASP.NET ViewStateのデシリアライズ攻撃を引き続き活用しており、この手法はセキュリティコミュニティで長年周知されているにもかかわらず、依然として有効である。

同グループはまた、ToolShell SharePoint脆弱性チェーンへの早期アクセスも示しており、2025年7月には大規模なスキャン作戦を実施した。

このマルチベクターのアプローチは、Web構成が一貫しない大規模組織に対して実用的にスケール可能であることを示している。

Image
リレーネットワークの構築。

確立後、ShadowPad IISモジュールは、サーバーおよびクライアントのリストという2つの並行レジストリを維持する。ノードはどちらのカテゴリにも自己登録でき、サーバーエントリは30秒ごとに定期的に再検証され、継続的な可用性が確認される。

検知上の課題

30秒間ペアリングされないクライアントは、古いリンクを防ぐため自動的に削除される。この設計により、侵害インフラ全体にわたって高度なリレートポロジ管理が可能になる。

リレーのロジック自体に加え、このモジュールは異例に豊富なフォレンジック痕跡を残す。外部IPアドレスと内部IPアドレスの間で転送したバイト数を記録するデバッグ文字列である。

Image
IIS Listenerからダンプされたデバッグログ文字列。

このモジュールのコマンド体系は、2つの並行トラックで動作する。リレーネットワークの構築と、従来型バックドア機能である。

ピアツーピア通信の確立にとどまらず、このモジュールは完全に機能するShadowPadバックドアとして動作し、オペレーターがホストの偵察、ファイル操作、データ収集、ペイロードのステージング、そして攻撃的なラテラルムーブメントを実行できるようにする。

この二目的設計は、Ink Dragonの成熟した開発モデルと、モジュール式ツールという思想を反映している。

注目すべき点として、Ink Dragonは、秘匿性の強化とより高い持ち出しスループットを備えた新しいFinalDraftバックドア亜種を導入しており、秘匿的なラテラルムーブメントを可能にする高度な回避技術も組み合わせている。

侵害された欧州の政府機関オフィスに対するフォレンジック分析では、完全なキルチェーンが明らかになっている。Web中心の初期侵入、ハンズオンキーボード活動、段階的ローダー、権限昇格、認証情報の窃取、そして迅速なドメイン支配の達成である。

組織は重要な防御策として、外部公開されているIISおよびSharePointサーバーの保護を優先し、強固なmachine key管理の実践を実装し、不審なHTTPリスナー登録活動を監視すべきである。

翻訳元: https://gbhackers.com/shadowpad-nodes/

ソース: gbhackers.com
#ASP.NET ViewStateデシリアライズ #C2(コマンド&コントロール) #IIS #Ink Dragon #ShadowPad #SharePoint脆弱性(ToolShell) #サイバー諜報 #リレーネットワーク #中国系ハッカー #政府・通信インフラ攻撃

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚