Check Pointによると、このグループはアジアと南米から活動を拡大し、欧州の政府機関を攻撃している。
中国と関連があるとされる「Ink Dragon」と特定された脅威グループが、追跡や無力化が困難なグローバルな諜報ネットワークを構築するため、Internet Information Services(IIS)サーバーにおける一般的な弱点を標的にしていると、セキュリティベンダーのCheck Pointが報告した。
同グループは「Earth Alux」(Trend Mico)や「REF7707」(Elastic Security Labs)という別名でも呼ばれ、活動は2023年初頭にさかのぼる。当時は東南アジアおよび南米の政府機関を標的としていたが、その後、欧州諸国へと対象を拡大している。
Ink Dragonは、そのmodus operandi(手口)において、UNC6384のような、国家レベルの監視に従事する他の複数の中国系脅威グループと似ているように聞こえるかもしれない。UNC6384のキャンペーンは欧州の外交官を標的にしていた。
しかし、欧州のある政府機関のオフィスで最近行われた調査の中で、Check Pointは、同グループがより長期的な目的を持つ、同社が「異例に高度なプレイブック」と呼ぶ手法へと軸足を移したことを発見したと述べた。
その鍵となるのが、Microsoftの老朽化したWebサーバープラットフォームであるIISだ。IISは、特に公共部門のネットワークを中心に、依然として多くの環境に存在している。このプラットフォームには2つの魅力がある。広く導入されていること、そして設定不備が多く安全性が低いことだ。
キャンペーンは、攻撃者がIISサーバーを侵害するところから始まる。内部ネットワークへのアクセスを得ると、ローカルの認証情報を収集し、管理者セッションを調査する。これらとMicrosoft Remote Desktopを用いて、注意を引かずに横展開(ラテラルムーブメント)を行う。この段階で、グループはカスタマイズしたIISモジュールをインストールし、サーバーを同グループのより広範なグローバル基盤内における不可視の「静かな」中継点へと変える。
「これらのサーバーは、異なる被害者間でコマンドとデータを転送し、攻撃トラフィックの真の発信元を隠す通信メッシュを形成する」と、Check Pointの研究者は説明している。
影のインフラ
この攻撃には2つの目的がある。第一に政府サーバーを侵害し、情報収集のためにネットワークを略奪すること。第二に、侵害したサーバーを借用して、他の侵害済みサーバーとの間で攻撃トラフィックを中継し、グループのコマンド&コントロール(C2)の検知をはるかに困難にすることだ。
この戦術は、テイクダウンや妨害に弱い従来型のC2インフラに依存せざるを得ないという問題を巧みに回避する。代わりに、乗っ取られ、信頼されている政府サーバーそのものがインフラとなる。
「事案をまたいで、同じストーリーが繰り返される。小さな外部公開Webの問題が最初の一歩となる。静かな一連のピボットによってドメインレベルの制御へと至る。その後、環境は追加の標的に対する作戦を支える、より大きなネットワークの一部として再利用される」とCheck Pointは述べた。トラフィック自体については、同グループは通常のメールボックスの下書きの中に通信を隠し、日常的なやり取りに見せかけている。
偶然にも、Check Pointは、別の中国系脅威グループであるRudePandaが同時期にIISの弱点を悪用して政府サーバーを侵害していたことを発見した。これによりRudePandaは「同じ[侵害された]環境で同じ時期に活動していた」ことになる。
これらの発見は、IISの設定不備という問題を浮き彫りにしている。Check Pointは、同グループの侵害指標(IoC)を列挙する以外に、これへの具体的な対抗策は提示していない。それでも、いくつかの対応は考えられる。IISで稼働しているモジュールを既知の正常なベースラインと照合して監査する、高度なIISログを有効化する、一般的なView Stateの脆弱性が起こりにくいようIISを設定する、そしてIISサーバーをWebアプリケーションファイアウォール(WAF)の背後に置くことを検討する、といったものだ。
