中国のスパイ、米国のテック企業と法律事務所に1年以上アクセス

中国の脅威アクターは、侵害されたネットワークエッジデバイスにカスタムLinuxバックドアを展開し、米国の法律サービス会社、SaaSプロバイダー、ビジネスプロセスアウトソーサー、テクノロジー企業のネットワークへの持続的なアクセスを維持していました。

これらのバックドアは平均393日間検出されず、VMware vCenterおよびESXiホスト、Windowsワークステーションとサーバー、Microsoft 365メールボックスへのラテラルムーブメントの足場として利用されていました。

「これらの標的の価値は、通常の諜報活動を超え、ゼロデイ開発へのデータ提供や、下流の被害者への広範なアクセスのためのピボットポイントの確立につながる可能性があります」と、MandiantとGoogleの脅威インテリジェンスグループの研究者は、インシデント対応の過程で発見しました。

研究者らは、これらの攻撃をUNC5221として追跡しているグループの仕業としています。このグループは、業界でSilk Typhoonとして知られる中国政府支援の脅威アクターと活動が重なる部分もありますが、Googleは別グループと見ています。グループの主なツールは、LinuxおよびBSDデバイス向けにGoで書かれたバックドアで、MandiantはこれをBRICKSTORMと名付けています。

ほとんどのネットワークアプライアンスやその他のエッジデバイスには、従来型のエンドポイント検出・対応ツールが導入されておらず、一般的にSIEMログ監視ソリューションの対象外です。そのため、BRICKSTORMインプラントの検出は、積極的な脅威ハンティングなしでは非常に困難です。そこでMandiantは、アプライアンス上で実行し、関連する侵害の兆候を検出できるスキャナースクリプトを公開しました。

初期侵入の特定は困難

UNC5221は、2023年12月以降、Ivanti Connect SecureおよびIvanti Policy SecureアプライアンスのCVE-2023-46805およびCVE-2024-21887脆弱性をゼロデイで悪用した唯一のグループとして知られています。しかし、BRICKSTORMバックドアは、脆弱性悪用の明確な痕跡がないまま、さまざまなメーカーの異なる種類のアプライアンスで発見されています。

この証拠が欠落している理由の一部は、侵入が特定されるまでに1年以上という長期間にわたり攻撃者が潜伏していたためであり、これは通常の内部ログ保持期間を超えています。また、ログが集中管理されていなければ、アプライアンスがどのように侵害されたかを特定する手段がありません。

「これらの課題にもかかわらず、利用可能な証拠からは、攻撃者が境界およびリモートアクセスインフラの侵害に注力していることがうかがえます」とMandiantの研究者は述べています。

仮想マシンの標的化

BRICKSTORMは、VMware vCenterおよびESXiサーバーでも発見されており、侵害されたネットワークアプライアンスから盗まれたとみられる有効な認証情報を使って展開されていました。

攻撃者はまた、vCenterのWeb管理インターフェースを実行するWebサーバーにJava Servletフィルターを展開しました。MandiantがBRICKSTEALと名付けたこのフィルターは、ログインページへのHTTPリクエスト（ユーザー名やパスワードを含む場合がある）を傍受できるものでした。通常、vCenterにアクセスするユーザーは企業内で高い権限を持っています。

さらに、攻撃者はvCenter上にSLAYSTYLEと呼ばれるWebシェルも展開し、HTTP経由でコマンドを受信してシステム上で実行できるようにしました。その他のケースでは、攻撃者はWebインターフェース経由でvCenterのSSHサービスを有効化し、SSHアクセスを使ってBRICKSTORMを展開しました。

攻撃者はまた、VMware vCenterを利用して、ドメインコントローラー、SSOアイデンティティプロバイダー、シークレットボールトとして機能するWindowsサーバーの既存仮想マシンをクローンしました。その後、それら仮想マシンのファイルシステムをマウントし、内部に保存されている認証情報を抽出しました。これらの認証情報は、他のシステムへのさらなるラテラルムーブメントに利用されました。

メールボックスとコードの窃取

侵入事例全体に共通して見られたのは、攻撃者がMicrosoft Entra IDエンタープライズアプリケーションを盗んだ認証情報で利用し、開発者やシステム管理者、経済的・諜報的関心のある活動に関与する個人のMicrosoft 365メールボックスにアクセスしていたことです。

BRICKSTORMはSOCKSプロキシとしても機能し、攻撃者が企業ネットワーク上のシステムやWebアプリケーションに直接アクセスできるようにします。攻撃者はこのトンネリング機能を使い、ワークステーションやアーカイブされたコードリポジトリから収集した関心ファイルを外部に持ち出していました。

攻撃者が標的を選定した方法

「BRICKSTORMに関連する最近の侵入作戦は、地政学的諜報活動、アクセスオペレーション、知的財産（IP）窃取、エクスプロイト開発のための情報収集など、さまざまな目的を持っていると考えられます」とGoogleの研究者は述べています。

例えば、法律サービス会社は米国の国家安全保障や貿易に関連する情報を収集するために標的とされた可能性が高く、SaaSプロバイダーは顧客データの取得や、顧客環境へのさらなる下流アクセスを得るために狙われました。

テクノロジー企業は知的財産の窃取を目的として標的とされましたが、盗まれたソースコードは製品の脆弱性を発見し、ゼロデイエクスプロイトを開発するためにも分析される可能性があります。

Mandiantのレポートには、攻撃パターンの検出を目的とし、IOCではなくTTPに着目した脅威ハンティングの実施方法について詳細なガイダンスが記載されています。これは、UNC5221が被害者ごとに異なるBRICKSTORMサンプルやC2サーバーを使用していたためです。

「効果的な脅威ハンティングの成功には、エッジデバイスやその他のアプライアンスなど、標準的なセキュリティツールスタックでカバーされていないデバイスも含めた資産インベントリが不可欠です」と研究者は述べています。「これらのアプライアンスは従来のセキュリティツールのサポートがないため、インベントリは有効な代替コントロールや検出策を開発する上で非常に重要です。」