CL-UNK-1068として追跡されている中国関連のサイバースパイグループは、2020年以降、南アジア、東南アジア、東アジアの重要インフラに対するステルス攻撃を実施しています。
専門家は、このグループの主な目的はスパイ活動であり、戦略的ターゲットから機密データを収集することだと考えていますが、一部のサイバー犯罪動機も除外することはできません。
CL-UNK-1068は、カスタムマルウェア、オープンソースツール、および生活環境バイナリ(LOLBIN)の組み合わせを使用して、WindowsとLinuxシステムの両方に浸透します。
攻撃者は通常、GodZillaやAntSwordなどのWebシェルを通じて最初のアクセスを獲得します。これらは遠隔管理のために中国の脅威主体に人気があります。
システム内に入ると、正規のPython実行可能ファイル(python.exeなど)を悪用するDLLサイドローディング技術を使用して、悪意のあるペイロード(python20.dll)をシステムメモリにこっそり読み込みます。これにより、従来のアンチウイルス検出をトリガーすることなくマルウェアを実行できます。
横展開のために、CL-UNK-1068はScanPortPlusと呼ばれるカスタムGoベースのスキャナーを展開して、ネットワーク接続デバイスと開いている脆弱性を識別します。
長期的な持続性を維持するために、グループは中国語の識別子と「frpforzhangwei」という独特の認証トークンを含む、改変されたFast Reverse Proxy(FRP)ツールに依存しています。
Linuxサーバーでは、攻撃者はXnoteバックドアを展開します。これはUDPおよびSYNプロトコルを介したコマンド・アンド・コントロール(C2)通信を使用する分散サービス拒否(DDoS)操作をサポートしています。
グループはまた、認証情報の盗難とデータの流出に大きく焦点を当てています。WinRARで設定ファイルを圧縮し、Base64を使用してエンコードし、テキストを直接端末に印刷することで、赤い旗を上げる可能性のある直接的なファイル転送を回避しています。
研究者は、Mimikatz、DumpIt、およびLsaRecorderなどのツールを使用してメモリから認証情報データを直接抽出することも確認しています。
脅威アクターは、侵入と持続性のために複合的な攻撃ツールを使用していることが観察されています。
WebシェルのGodZillaとAntSwordは、通常、最初のアクセスを獲得し、侵害されたサーバー全体での横展開を有効にするために展開されます。
場合によっては、python.exeはDLLサイドローディングを通じて悪用され、悪意のあるpython20.dllを使用して有害なシェルコードをメモリで直接実行します。
この継続的なスパイ活動は、アジアの重要なインフラを標的とした中国関連のサイバー操作の高まる高度化を強調しています。
翻訳元: https://cyberpress.org/chinese-linked-cl-unk-1068-espionage/