CL-UNK-1068と指定された高度に洗練されたサイバースパイ活動グループは、少なくとも2020年以来、南アジア、東南アジア、東アジア全域の重要インフラを積極的に標的にしています。
中国を起源とする脅威行為者は、航空、エネルギー、政府、法執行機関、技術、通信などの高価値セクターに焦点を当てています。
攻撃者はカスタムマルウェア、オープンソースユーティリティ、および生活環境バイナリ(LOLBINs)の多様な組み合わせを使用して、WindowsおよびLinux環境を効果的に侵害します。
Unit 42の研究者は、グループの主な動機はサイバースパイ活動であると高い信頼度で評価していますが、サイバー犯罪活動を完全に除外することはできません。
脅威分析および攻撃技術
CL-UNK-1068は、GodZillaやAntSwordなどの一般的なWebシェルをデプロイすることで、初期フットホールドを確立して攻撃を開始します。
ネットワーク内に入ると、python.exeのようなレガシーPython実行可能ファイルを使用した独自のDLLサイドローディング技術を活用します。
この方法により、python20.dllなどの悪意のあるファイルを巧妙に読み込み、コンピュータのメモリ空間内で危険なペイロードを直接復号化して実行することができます。
横方向への移動のために、グループはGoで構築されたマルチプラットフォームネットワークスキャナーであるScanPortPlusなどのカスタムツールを利用しています。
永続的なアクセスを維持し、ネットワークファイアウォールをバイパスするために、認証トークン「frpforzhangwei」やハードコードされたパスワードなどの独自の中国語識別子を持つ改変されたFast Reverse Proxy(FRP)をデプロイします。
さらに、攻撃者はLinuxサーバーをXnoteバックドアで標的にしており、これは主に分散型サービス拒否(DDoS)攻撃を開始するために使用されます。
グループは認証情報の盗難と機密データの流出に大きく焦点を当てています。
彼らはWinRARでアーカイブし、Base64エンコーディングを使用してアーカイブをテキストに変換し、直接ファイル転送を避けるために画面にテキストを印刷することで、Webサイト設定ファイルを盗む巧妙な技術を使用しています。
パスワードを盗むために、彼らはMimikatz、LsaRecorder、およびVolatilityなどのツールに頼って、マシンのメモリから直接パスワードハッシュを抽出します。
| ツール/ファイルインジケータ | タイプ/コンテキスト | 説明 |
|---|---|---|
| GodZilla / AntSword | Webシェル | サーバー間の初期アクセスと横方向への移動に使用されます。 |
| python.exe / python20.dll | DLLサイドローディング | メモリに悪意のあるシェルコードを読み込むために使用される正規のPythonバイナリ。 |
| ScanPortPlus | カスタムスキャナー | 侵害されたネットワーク上のIP、ポート、脆弱性スキャン用のGoベースのツール。 |
| frpforzhangwei | カスタムFRPトークン | 永続的なアクセスとファイアウォール回避用に改変されたFast Reverse Proxy。 |
| Xnote | Linuxバックドア | Linuxサーバーにデプロイされ、様々なCC、UDP、およびSYN FloodのDDoS攻撃を実行します。 |
| SuperDump / hp.bat | 偵察 | ローカルシステムテレメトリを収集するために使用されるカスタム.NETツールおよびバッチスクリプト。 |
| LsaRecorder / DumpIt | 認証情報の盗難 | ログインコールバックをフックし、マシンメモリからパスワードハッシュをダンプするために使用されるツール。 |
検出と軽減戦略
CL-UNK-1068に対する防御には、組織が静的なインジケータを超え、動作異常を綿密に監視する必要があります。
セキュリティチームは、正規のPythonバイナリの悪用、未承認のトンネリングツールの実行、およびシステム偵察に使用される認識されないバッチスクリプト(hp.batやhpp.batなど)のデプロイを監視する必要があります。
重要なアセットの保護には、公開されているサーバーを特定し、通常とは異なるアウトバウンド通信を監視することが含まれます。
Cortex XDR分析エンジンは、通常とは異なるLinuxプロセス通信と/etc/hostsなどの機密ファイルへの不正アクセスにフラグを立てます。
CL-UNK-1068がもたらす脅威を効果的に軽減するために、組織は以下の主要な防御カテゴリに焦点を当てるべきです。
- 行動監視:セキュリティチームは、異常なPython実行、
rar.batやhp.batなどのカスタムバッチスクリプトの使用、および偵察またはデータ流出を示す可能性のある異常なSQLデータベースクエリを監視する必要があります。 - ネットワーク防御:防御者は、改変されたFRPなどの未承認のトンネリングツールを積極的にブロックし、アウトバウンドのコマンドアンドコントロール(C2)パターンについてネットワークトラフィックを継続的に監視する必要があります。
- エンドポイントセキュリティ:Cortex XDRなどの高度なエンドポイント保護をデプロイすることは、通常とは異なるプロセス通信を検出し、
/etc/hostsなどの機密Linuxファイルへの不正アクセスをブロックするために重要です。 - ファイアウォール保護:組織は、Next-Generation Firewalls(NGFW)を通じて最新の脅威防止シグネチャ(94655、91671、91662を含む)を適用して、このグループに関連する既知の攻撃ベクトルを自動的にブロックする必要があります。
- 脆弱性管理:セキュリティチームは、Cortex Xpanseなどの攻撃表面管理ツールを使用して、特に公開インターネットに面したVMWare vCenterサーバーデバイスを含む、公開されたアセットを迅速に特定し、保護することが推奨されています。
翻訳元: https://gbhackers.com/cyber-espionage-group-cl-unk-1068-targets-asian-infrastructure/
