Check Point Researchによる継続的な調査によれば、中国のスパイ活動グループ「Ink Dragon」は、東南アジアおよび南米から欧州の政府ネットワークへと活動範囲を大幅に拡大している。
この脅威アクターは、戦略的なサーバー侵害と高度なリレー基盤を組み合わせた体系的な手法を用い、永続的なアクセスを維持しつつグローバルな作戦を支えている。
同グループの拡大は、長期潜伏と検知痕跡の最小化を特徴とする、規律あるキャンペーンモデルを反映している。
Ink Dragonは、侵害したサーバーをリレーノードとして指摘し、被害組織を意図せずして複数大陸にまたがる広範なスパイ活動を支えるインフラへと変えていた。
この手法により、脅威アクターはコマンド&コントロール(C2)通信を隠蔽しつつ、分散した通信経路によって運用上の強靭性を維持できる。
Ink Dragonの攻撃チェーンは通常、公開Webインフラの偵察から始まり、Microsoft IIS WebサーバーやSharePoint導入環境における一般的な設定上の弱点を狙う。
これらの侵入口は、可視性が低いまま初期のコード実行を可能にし、攻撃者が標的ネットワーク内に最初の足場を築くことを許す。
足場を確立すると、同グループは環境内に既に存在する正規の管理者資格情報やサービスアカウントを用いて、ラテラルムーブメントに注力する。
この手法により、Ink Dragonは通常の企業活動に自然に紛れ込み、検知される可能性を大幅に低下させる。
攻撃者は体系的にローカル資格情報を収集し、アクティブな管理者セッションを特定し、共有サービスアカウントを悪用してネットワークセグメントを横断する。
作戦はドメインレベルのアクセス獲得で最終段階に至り、環境の包括的なマッピング、ポリシー操作、高価値システムへの永続的バックドア展開を可能にする。この段階的アプローチは、迅速な権限昇格よりも秘匿性と持続性を優先している。
中国のInk Dragonがサイバーセキュリティを脅かす
Ink Dragonの作戦を特徴づけるのは、侵害した環境を体系的に転用する点である。
同グループは、公開サーバーをリレーノードへと変換し、地理的に分散した被害者間でコマンド通信やデータを中継する、カスタマイズされたIISベースのモジュールを展開する。
このアーキテクチャ的アプローチは、攻撃トラフィックの真の発信元を隠蔽する通信メッシュを形成し、セキュリティ監視システムには通常の組織間通信のように見せかける。
このリレー基盤は、冗長な通信経路による運用上の強靭性、標準的なHTTPトラフィックパターンに紛れる自然なカモフラージュ、そして侵害システム1台あたりの利用価値の長期化という、複数の戦略的利点を提供する。
Ink Dragonのツールセットは進化を続けており、特にクラウドを意識した機能に重点が置かれている。
更新されたFinalDraftバックドアの亜種はこの進化を体現しており、Microsoftクラウドの活動パターンに溶け込むよう特別に最適化されている。
不審な外部接続を確立するのではなく、このマルウェアはMicrosoftメールボックスの下書きをコマンド通信に利用し、通信を通常のMicrosoftサービス利用として効果的に偽装する。
これらの改良は、運用上の秘匿性と長期キャンペーンの持続可能性を優先する脅威アクターであることを示している。
同時進行する脅威活動
調査により、同じ侵害された政府ネットワーク内で、無関係の脅威アクターであるRudePandaが同時に活動していたことが明らかになった。
この最新の反復では、業務時間に合わせてチェックインを行う制御されたタイミング機構、効率的なバックグラウンドデータ転送プロトコル、および包括的なシステムプロファイリング機能が導入されている。
両グループは同一の公開脆弱性をそれぞれ独立に悪用しており、未パッチの弱点が1つあるだけで複数の高度持続的脅威(APT)グループを引き寄せ得ることを示している。
RudePandaは、同グループの標準的な運用手法と一致する軽量なWebツールとIIS改変を展開した。
サイバーセキュリティ専門家にとって、Ink Dragonの作戦は重要な原則を浮き彫りにする。侵害されたシステムは、より広範な脅威アクターの作戦における通信インフラとして利用されている可能性があるため、調査に値するということだ。
アクターを完全に排除するには、個別の侵害に対処するのではなく、リレーチェーン全体を特定して遮断する必要がある。
組織は、侵害されたシステムが外部作戦を支えるリレーノードとして転用されていないかを特定するため、インシデント後の包括的な分析を優先すべきである。
翻訳元: https://gbhackers.com/chinese-ink-dragon/
