セキュリティ研究者らは、少なくとも4か月にわたるサイバースパイ活動キャンペーンで主に台湾の組織を標的にした新たなAPTグループの証拠を共有した。
シマンテックが「Grayling」と名付けたこのグループの活動は2023年2月に始まり、少なくとも2023年5月まで継続し、台湾の製造業、IT およびバイオメディカル企業から機密情報を窃取したほか、米国、ベトナム、太平洋諸島の被害者も含まれていた。
同グループは、エクスポートされたAPI「SbieDll_Hook」を介したDLLサイドローディングを展開し、Cobalt Strikeのステージャーなどのツールを読み込んだ。これにより、広く利用されている侵害後ツールであるCobalt Strike Beaconへとつながった。また、「Havoc」もインストールした。これはオープンソースの侵害後コマンド&コントロール(C2)フレームワークで、Cobalt Strikeと同様の方法で使用される。
報告書によれば、Graylingは公開されているスパイウェアツールNetSpyを使用し、旧来のWindows権限昇格の脆弱性CVE-2019-0803を悪用し、シェルコードをダウンロードして実行した。
APTの活動について詳しく読む:Barracudaのゼロデイが中国系アクターに悪用される
シマンテックは、「これらの攻撃者が行ったその他の侵害後活動には、processlist.txtというファイルに列挙されたすべてのプロセスをkill processesで終了させることや、公開されている認証情報ダンプツールMimikatzのダウンロードが含まれる」と説明した。
「被害者マシンからデータが持ち出されている様子は確認できないものの、観測された活動と展開されたツールは、この活動の動機が情報収集であることを示している。」
同セキュリティベンダーは、Graylingのmodus operandiは、カスタムツールと公開ツールを組み合わせ、後者によって 目立たないようにするという点で、今日のAPTグループとしてはかなり典型的だと述べた。HavocとCobalt Strikeは、幅広い侵害後機能を備えている点で特に有用であり、人気も高い。
「同様の機能を持つ独自のカスタムツールを開発するよりも、たとえ熟練した攻撃者であっても、このような既存ツールを使う方が容易な場合が多い」と、シマンテックは続けた。
「公開ツールの使用は、調査者にとって活動のアトリビューション(帰属特定)をより困難にすることもある。プロセスを終了させるなど攻撃者が取った手順は、この活動を隠すことが彼らにとって優先事項だったことも示している。」
同ベンダーは潜在的な国家の名指しは避けたものの、Graylingが狙った標的が北京の地政学的利益と一致していることは明らかだ。
翻訳元: https://www.infosecurity-magazine.com/news/threat-actor-grayling-espionage/
