中国関係のサイバースパイグループAPT41が、アフリカ地域の政府ITサービスを標的とした新たなキャンペーンに関与しているとされています。
「攻撃者は、マルウェア内にハードコードされた内部サービス名、IPアドレス、プロキシサーバーを使用していました」と、カスペルスキーの研究者Denis Kulik氏とDaniil Pogorelov氏は述べています。「C2(コマンド&コントロール)サーバーの1つは、被害者のインフラ内にあるキャプティブなSharePointサーバーでした。」
APT41は、通信・エネルギー事業者、教育機関、医療機関、ITエネルギー企業など、30カ国以上のさまざまな分野の組織を標的としていることで知られる、中国の国家支援型ハッカーグループに付けられた呼称です。
このキャンペーンが注目される理由は、ロシアのサイバーセキュリティベンダーが指摘するように、「この特定の脅威アクターによる活動が最も少なかった」アフリカに焦点を当てている点です。ただし、Trend Microによる以前の観測とも一致しており、同大陸が2022年後半から標的となっていることが示されています。
カスペルスキーは、匿名の組織のITインフラに関連する複数のワークステーションで「不審な活動」を発見した後、調査を開始したと述べています。攻撃者は、C2サーバーの可用性を確認するためにコマンドを実行しており、これは侵害された組織内の内部プロキシサーバー経由、または直接行われていました。
「不審な活動の発信元は、監視されていないホストであり、すでに侵害されていたことが判明しました」と研究者らは述べています。「Impacketがサービスアカウントのコンテキストで実行されていました。AtexecとWmiExecモジュールの実行が完了した後、攻撃者は一時的に活動を停止しました。」
その後まもなく、攻撃者は特権アカウントに関連する認証情報を収集し、権限昇格や横方向移動を実現、最終的にはDLLサイドローディングを利用してCobalt StrikeをC2通信に展開しました。
悪意のあるDLLは、ホストにインストールされている言語パックを確認し、以下の言語パックが検出されなかった場合のみ実行を継続します:日本語、韓国語(韓国)、中国語(中国本土)、中国語(台湾)。
この攻撃はまた、C2目的でハッキングされたSharePointサーバーを利用し、被害者ホストにアップロードされたC#ベースのマルウェアによってコマンドを実行させる点も特徴です。
「攻撃者は、SMBプロトコルを介してagents.exeおよびagentx.exeという名前のファイルを配布し、サーバーとの通信に使用しました」とカスペルスキーは説明しています。「これらのファイルは実際にはC#製のトロイの木馬であり、主な機能はSharePointサーバーにインストールされたCommandHandler.aspxというウェブシェルから受信したコマンドを実行することです。」
この手法は、従来型のマルウェア展開と「Living-off-the-land」戦術(SharePointのような信頼されたサービスを隠れた制御チャネルとして利用)を組み合わせています。これらの行動はMITRE ATT&CKのT1071.001(Webプロトコル)やT1047(WMI)などの技術に該当し、シグネチャベースのツールだけでは検出が困難です。
さらに、脅威アクターは初期偵察後に価値があると判断したマシンで追加活動を行っていることが確認されています。これは、外部リソースから悪意のあるHTMLアプリケーション(HTA)ファイルをダウンロードし、埋め込まれたJavaScriptをmshta.exeで実行するためにcmd.exeコマンドを実行することで達成されます。
外部URL(GitHubを装ったドメイン「github.githubassets[.]net」)経由で配信されるペイロードの正確な内容は現時点では不明です。しかし、以前配布されたスクリプトの分析によると、リバースシェルを生成する設計となっており、攻撃者が感染システム上でコマンドを実行できるようになります。
また、攻撃ではスティーラーや認証情報収集ツールも利用されており、機密データを収集し、SharePointサーバー経由で情報を外部に送信しています。攻撃者が使用したツールの一部は以下の通りです。
- Pillager(改造版)で、ブラウザ、データベース、MobaXtermなどの管理ツールから認証情報、ソースコード、スクリーンショット、チャットセッションとデータ、メールメッセージ、SSH・FTPセッション、インストール済みアプリ一覧、systeminfoやtasklistコマンドの出力、チャットアプリやメールクライアントのアカウント情報を窃取
- Checkoutで、Yandex、Opera、OperaGX、Vivaldi、Google Chrome、Brave、Cốc Cốcなどのウェブブラウザに保存されたダウンロードファイル情報やクレジットカードデータを窃取
- RawCopyでレジストリファイルの生データをコピー
- Mimikatzでアカウント認証情報をダンプ
「攻撃者は自作ツールと公開ツールの両方を幅広く駆使しています」とカスペルスキーは述べています。「特に、攻撃のさまざまな段階でCobalt Strikeなどのペンテストツールを使用しています。」
「攻撃者は標的のインフラに素早く適応し、特定の特徴に合わせてマルウェアツールを更新します。内部サービスをC2通信やデータ流出に活用することも可能です。」
この作戦はまた、レッドチームツールと実際の攻撃者シミュレーションの境界が曖昧になっていることも浮き彫りにしています。脅威アクターはImpacket、Mimikatz、Cobalt Strikeなどの公開フレームワークと自作インプラントを併用しています。これらの重複は、Windows環境における横方向移動、認証情報アクセス、防御回避に注力する検知チームにとって課題となります。
翻訳元: https://thehackernews.com/2025/07/china-linked-hackers-launch-targeted.html