Cisco Talosによると、新たに特定された中国の高度持続的脅威(APT)グループが、台湾のウェブインフラプロバイダーを標的にしており、長期的なアクセスとデータ窃取に重点を置いているとのことです。
この報告は、中国による台湾の重要インフラへのサイバー侵入が激化し、島の自治を巡る地政学的緊張が高まる中で発表されました。
Cisco Talosの研究者によれば、UAT-7237として追跡されている脅威アクターは、台湾のウェブホスティングプロバイダーへの侵入に成功しました。このグループは、被害組織のVPNおよびクラウドインフラへのアクセスに特に関心を示していました。
同グループは、侵害された環境内で偵察、認証情報の抽出、バックドアアクセスの設置など、さまざまな悪意のある活動を行っていました。
このグループは主に、カスタマイズされたShellcodeローダー「SoundBill」を含む、オープンソースのツールを利用しています。
研究者によると、UAT-7237は2022年から活動しており、UAT-5918のサブグループである可能性が高いとのことです。UAT-5918は、以前から台湾の組織に対して諜報活動を行っている中国語話者の脅威アクターとして知られています。
サブグループである可能性はあるものの、UAT-7237はUAT-5918と比較して戦術・技術・手順(TTP)に大きな違いがあることから、独立した中国のAPTグループであると高い確信をもって評価されています。
TTPには、主要なバックドアインプラントとしてCobalt Strikeを使用し、侵害されたエンドポイントへのウェブシェルの選択的な展開が含まれます。
侵害後の特徴的な活動
8月15日に公開されたCiscoのレポートによると、他の中国のAPTグループと同様に、UAT-7237はインターネットに公開された未修正サーバーの既知の脆弱性を悪用して初期アクセスを獲得しています。
UAT-5918がすぐにウェブシェルを展開してバックドアチャネルを確立するのに対し、UAT-7237は大きく異なり、SoftEther VPNクライアントを使用して永続化を実現し、その後リモートデスクトッププロトコル(RDP)経由でシステムにアクセスします。
侵害されたウェブホスティングプロバイダーでは、研究者は同グループが2年間にわたりSoftEtherを使用していた形跡を発見しました。
UAT-7237は、検知を回避し、侵害された企業内で悪意のある活動を行うために、しばしばカスタマイズされたオープンソースツールを展開します。
これには、SharpWMIやWMICmdなど、任意のコマンドやコード実行のためのWindows Management Instrumentation(WMI)ベースのツールが含まれます。
UAT-7237が使用する最も注目すべきカスタムツールの1つはSoundBillであり、これは中国語で書かれたシェルコードローダーで、ディスク上の「ptiti.txt」というファイルをデコードし、生成されたシェルコードを実行します。
SoundBillに組み込まれている2つの実行ファイルは、中国のインスタントメッセージングソフトウェアであるQQに由来しています。
SoundBillはあらゆるシェルコードのロードに対応しており、グループはこれを利用して情報窃取のための長期的なアクセスを確立するためにCobalt Strikeを使用しています。
UAT-7237はまた、複数のコマンドをエンドポイントで実行するために、中国語話者の脅威アクターに人気のある権限昇格ツール「JuicyPotato」を使用します。
アクターは主にMimikatzを用いて、感染したエンドポイントから認証情報を窃取するツールを展開します。
Fscanなどのネットワークスキャンツールは、IPサブネットに対して開いているポートを特定するために使用されます。アクセス可能なシステムが見つかると、UAT-7237は以前に抽出した認証情報を使って追加の偵察を行い、被害組織内で横方向移動を可能にします。
中国による台湾インフラへの攻撃が激化
脅威研究者は、台湾に対する中国のサイバー攻撃が、諜報活動だけでなく、島内の重要なサービスを妨害する能力の準備としても激化していることを観測しています。
2025年1月、台湾の国家安全局(NSB)は、2024年に地域の重要インフラ、例えば通信、交通、政府ネットワークなどを標的としたサイバー攻撃が大幅に増加したと報告しました。そのほとんどが中国の国家支援ハッカーによるものとされています。
NSBは台湾市民に対し、中国製アプリが広く利用されていることが重大なサイバーセキュリティリスクをもたらすと警告し、個人情報が中国のサーバーに送信される危険性を指摘しました。
ESETによる2024年のレポートでは、中国のAPTグループ「Evasive Panda」がCloudScoutという高度なツールセットを使い、台湾の組織からクラウドベースのデータを抽出していたことが明らかになりました。
翻訳元: https://www.infosecurity-magazine.com/news/chinese-apt-web-hosting-taiwan/