東南アジアの通信事業者が、CL-STA-0969として知られる国家支援型の脅威アクターによって標的にされ、侵害されたネットワークのリモート制御が可能となっています。
Palo Alto NetworksのUnit 42は、2024年2月から11月にかけて、重要な通信インフラを含む複数のインシデントがこの地域で観測されたと述べています。
これらの攻撃は、リモートアクセスを可能にする複数のツールの使用や、モバイルデバイスから位置情報を収集できるCordscanの展開が特徴です。
しかし、同社は調査したネットワークやシステムからのデータ流出の証拠は発見されなかったとしています。また、攻撃者がモバイルネットワーク内の標的デバイスを追跡したり通信したりする試みも確認されませんでした。
「CL-STA-0969の背後にいる脅威アクターは高い運用上のセキュリティ(OPSEC)を維持し、検知を回避するために様々な防御回避技術を用いていました」と、セキュリティ研究者のRenzon Cruz、Nicolas Bareil、Navin Thomasは述べています。
Unit 42によると、CL-STA-0969はCrowdStrikeがLiminal Pandaという名称で追跡しているクラスターと大きな重複があり、これは2020年以降、南アジアやアフリカの通信事業者を標的とした情報収集を目的とする中国系スパイグループとされています。
Liminal Pandaの手口の一部は、以前はLightBasin(別名UNC1945)と呼ばれる別の脅威アクターに帰属されていました。LightBasinも2016年以降、通信分野を標的としており、さらにATMインフラへの攻撃で知られる金銭目的のクルーUNC2891とも重複しています。
「このクラスターはLiminal Pandaと大きく重複していますが、他にもLight Basin、UNC3886、UNC2891、UNC1945など、他の報告されたグループや活動クラスターとのツールの重複も観測されています」と研究者らは指摘しています。
少なくとも1件のケースでは、CL-STA-0969が初期侵入のためにSSH認証機構に対するブルートフォース攻撃を行い、アクセス権を得た後、以下のような様々なインプラントを設置したと考えられています。
- AuthDoor:悪意のあるプラガブル認証モジュール(PAM)。UNC1945に帰属されたSLAPSTICKと同様、認証情報の窃取やハードコードされたマジックパスワードによる持続的なアクセスを提供
- Cordscan:ネットワークスキャンおよびパケットキャプチャユーティリティ(以前はLiminal Pandaに帰属)
- GTPDOOR:GPRSローミング交換に隣接する通信ネットワークへの展開を目的に設計されたマルウェア
- EchoBackdoor:ICMPエコーリクエストパケット内のC2命令を受信し、コマンドを抽出して実行結果を暗号化されていないICMPエコーリプライパケットでサーバーに返すパッシブ型バックドア
- Serving GPRS Support Node (SGSN) Emulator(sgsnemu):通信ネットワーク経由でトラフィックをトンネリングし、ファイアウォール制限を回避するためのエミュレーションソフトウェア(以前はLiminal Pandaに帰属)
- ChronosRAT:シェルコード実行、ファイル操作、キーロギング、ポートフォワーディング、リモートシェル、スクリーンショット取得、プロキシ機能を備えたモジュール型ELFバイナリ
- NoDepDNS(内部名称MyDns):生のソケットを作成し、ポート53でUDPトラフィックをパッシブに監視し、DNSメッセージ経由でコマンドを解析するGolang製バックドア
「CL-STA-0969は、リバースSSHトンネルの確立など複数の機能を持つシェルスクリプトを活用していました」とUnit 42の研究者は述べています。「CL-STA-0969は高いOPSECを維持するため、不要になった際にはログを体系的に消去し、実行ファイルを削除しています。」
脅威アクターが展開した悪意あるツール群には、Microsocksプロキシ、Fast Reverse Proxy(FRP)、FScan、Responder、ProxyChainsのほか、LinuxやUNIX系システムの脆弱性(CVE-2016-5195、CVE-2021-4034、CVE-2021-3156)を悪用して権限昇格を実現するプログラムも含まれています。
独自開発ツールと公開ツールの組み合わせに加え、脅威アクターは検知を回避するために様々な戦略を採用していることが判明しています。これには、DNSトンネリングによるトラフィックの隠蔽、侵害したモバイル事業者経由でのトラフィックルーティング、認証ログの消去、Security-Enhanced Linux(SELinux)の無効化、標的環境に合わせた説得力のあるプロセス名への偽装などが含まれます。
「CL-STA-0969は通信プロトコルやインフラに関する深い理解を示しています」とUnit 42は述べています。「そのマルウェア、ツール、技術は、持続的かつステルス性の高いアクセスを維持するための計画的な努力を示しています。他の通信ノードを経由してトラフィックをプロキシし、あまり監視されないプロトコルでデータをトンネリングし、様々な防御回避技術を駆使していました。」
中国、米国機関が軍事・研究機関を標的にしていると非難#
この発表は、中国国家コンピュータネットワーク緊急対応技術チーム/協調センター(CNCERT)が、米国の情報機関がMicrosoft Exchangeのゼロデイ脆弱性を兵器化し、防衛関連情報を窃取し、2022年7月から2023年7月の間に「中国の大手軍事企業」に属する50台以上のデバイスを乗っ取ったと非難した中で明らかになりました。
同機関はまた、国内のハイテク軍事関連大学、科学研究機関、企業もこれらの攻撃の一環として標的となり、侵害されたホストから貴重なデータが吸い上げられたと述べています。標的となった中には、通信および衛星インターネット分野の中国軍事企業も含まれており、CNCERTによれば、2024年7月から11月にかけて電子ファイルシステムの脆弱性を悪用した攻撃を受けたとしています。
この帰属活動は、西側諸国の戦術を模倣したものであり、西側はMicrosoft SharePoint Serverの最新ゼロデイ攻撃を含め、中国を主要なサイバー攻撃の犯人として繰り返し非難しています。
先月、Fox Newsで米国の通信システムへの中国のハッキングや知的財産の窃盗について問われた米国大統領ドナルド・トランプ氏は、「我々が彼らに対して同じことをしていないと思うか?している。我々も多くのことをしている。それが世界の仕組みだ。厳しい世界だ」と述べました。
翻訳元: https://thehackernews.com/2025/08/cl-sta-0969-installs-covert-malware-in.html