GRIDTIDE バックドアは、Google が先週作戦を停止するまでの間、日常的なスプレッドシート活動の中にトラフィックを隠蔽していました。
Google の脅威インテリジェンスグループ(GTIG)は木曜日、中国関連のスパイ活動グループが Google のスプレッドシート アプリケーションを秘密のスパイツールとして使用し、42 カ国のテレコム プロバイダーと政府機関を危険にさらし、コマンドを送信して盗まれたデータを受け取っていたと述べました。
Mandiant と連携して、GTIG は 42 カ国の 53 の組織への侵入を確認し、少なくとも 20 以上の疑わしい感染があります。Google によって UNC2814 と識別されたこのグループは、GTIG が 2017 年以来追跡している疑わしい PRC 関連行為者です。
「この多産的で捉えどころのない行為者は、アフリカ、アジア、アメリカ大陸全体の国際政府と世界的なテレコミュニケーション組織を標的にした長い歴史があります」と GTIG はブログ投稿で述べました。
Salt Typhoon とは異なり、昨年米国テレコム キャリアへの侵入が議会と連邦規制当局の精査を引き起こした中国関連グループである UNC2814 は、異なる戦術を使用して運営され、グローバルに異なる被害者セットを標的にしています。
UNC2814 がどのように最初の足がかりを得るかは決定されていませんが、GTIG は、グループは Web サーバーとエッジ システムの悪用と侵害の歴史があると述べています。内部に入ると、新しいバックドアを展開し、ターゲット ネットワーク全体で永続的なアクセスを維持しました。
GTIG が GRIDTIDE と名付けたそのバックドアは、ほとんどのマルウェアのような方法で通信しませんでした。「バックドアは Google シートを高可用性 C2 プラットフォームとして活用し、スプレッドシートを文書ではなく通信チャネルとして扱い、生データとシェル コマンドの転送を容易にします」と GTIG は述べています。
攻撃者はスプレッドシートのセルにコマンドを書き込み、同じ方法で盗まれたデータを取得しました。マルウェアは毎秒新しい指示についてシートをポーリングし、タスク完了時にステータス更新を書き込み、各セッションの開始時に最初の 1,000 行をワイプして以前のアクティビティの痕跡を削除しました。
「このアクティビティは Google の製品のセキュリティ脆弱性の結果ではなく、むしろ正当な Google Sheets API 機能を悪用して C2 トラフィックを偽装します」と GTIG は付け加えました。
「GRIDTIDE バックドアについて最も不安な詳細は、正当な Google Sheets API 呼び出しを悪用して C2 チャネルとして機能しながら、「ランドオフザランド」などの技術を使用して通常のエンタープライズ アクティビティとブレンドする方法です」と AttackIQ の Adversary Research Team のマネージャーである Andrew Costis は述べています。「このカモフラージュは、明らかなマルウェア シグネチャやノイズの多いビーコンなど、防御者が依存するトリガーをすり抜けることで攻撃者に時間をもたらし、チームが見慣れた同じクラウド アプリ パターン内に隠れています。」
Mandiant がどのようにしてそれを見つけたか
このキャンペーンは Mandiant Threat Defense の調査中に、アナリストが CentOS サーバー上の異常なアクティビティにフラグを立てたときに明るみに出ました。Debian ベースの Linux システムの apt パッケージ マネージャーになりすまされるように設計された xapt という名前のバイナリは、すでに root にエスカレートし、アクセス レベルを確認するためにシェル コマンドを実行していました。
攻撃者は、アラートが発生する前にシステムで利用可能な最高の特権を持っていました。
その足がかりから、脅威行為者はサービス アカウントを使用して SSH 経由で横方向に移動し、偵察用のランドオフザランド バイナリをデプロイし、GRIDTIDE を永続的な systemd サービスとしてインストールしてリブートに耐えました。脅威行為者は、暗号化されたアウトバウンド チャネルを維持するために SoftEther VPN Bridge もデプロイしました。
「VPN 設定メタデータは、UNC2814 が 2018 年 7 月からこの特定のインフラストラクチャを活用していることを示唆しています」と GTIG は述べています。
その アクセスの程度は、調査官が攻撃者が標的としているものを調査したときに明らかになりました。
本当のターゲットは個人でした
攻撃者は、フルネーム、電話番号、生年月日、投票者 ID、国民 ID 番号を含む個人識別情報を保持するエンドポイントに GRIDTIDE を植え付けました。
「このエンゲージメントにおける PII のターゲティングは、テレコミュニケーション内のサイバー スパイ活動と一致していると評価し、これは主に関心のある人物の特定、追跡、監視に活用されます」と GTIG は投稿で述べています。
GTIG はこのキャンペーン中に流出を直接観察しませんでしたが、「過去の PRC 関連のテレコミュニケーション スパイ活動の侵入は、通話データレコードの盗難、暗号化されていない SMS メッセージ、および法的傍受システムの侵害と悪用をもたらしました」と述べています。
中国のサイバースパイ グループは、ネットワークが機密通信と法的傍受インフラストラクチャへのアクセスを提供するため、一貫してテレコミュニケーションをターゲットとして優先してきました。
「テレコム企業と政府機関が爆発範囲にある場合、ステークは 1 つの企業のインシデント レポートを超えています」と Costis は述べています。「テレコミュニケーション環境へのアクセスは、広範なインテリジェンス収集を可能にし、関係をマッピングするのに役立ち、一度侵害されると解きほぐすのが難しい長期監視の機会を作成できます。」
作戦を解体するために、GTIG は攻撃者によって制御されるすべての Google Cloud プロジェクトを終了し、アカウントを無効にし、Google Sheets API アクセスを取り消し、現在および過去の C2 ドメインをシンクホール化しました。また、IP アドレス、ドメイン、UNC2814 に関連するファイル ハッシュを含む Google Threat Intelligence を通じて影響を受けた組織に通知し、侵害のインジケーターを公開したと述べています。
