中国系の脅威アクターが、情報収集と作戦監視に焦点を当てた長期にわたるサイバースパイキャンペーンで、東南アジアの軍事ネットワークを標的にしていることが判明した。
CL-STA-1087として追跡されたこの活動は、カスタムマルウェア、ステルス技術、長期的な永続性を組み合わせた非常に規律立った手法を示している。
大規模なデータ窃取ではなく、攻撃者は指揮構造、C4Iシステム、共同軍事作戦などの高価値情報に焦点を当てている。
侵入は当初、エンドポイント セキュリティ ツールにより検出された疑わしいPowerShellアクティビティを通じて検出された。
Palo Alto Networks Unit 42によると、このキャンペーンは少なくとも2020年以来活動しており、主に東南アジア全域の軍事機関を標的にしている。調査により、攻撃者はすでに管理されていないシステム内での永続性を確立していたことが明らかになった。
彼らは複数のコマンドアンドコントロール(C2)サーバーに接続するリバースシェルを作成した遅延実行スクリプトを展開し、検出を回避するため6時間のスリープ間隔を使用することが多かった。
数ヶ月間休止したままだった後、攻撃者はアクセスを再度有効にし、横方向への移動を開始した。
Windows Management Instrumentation(WMI)とネイティブの.NETツールを使用して、彼らはドメインコントローラー、サーバー、エグゼクティブワークステーション全体に拡散した。
永続性はサービス作成とDLLハイジャックを通じて維持され、system32ディレクトリへの悪意あるライブラリの埋め込みを含んでいた。
中国系ハッカー
このキャンペーンはカスタムビルドのマルウェアに大きく依存しており、特にAppleChrisとMemFunという名前の2つのバックドアがある。
AppleChrisは複数の変種で展開され、Dead Drop Resolver(DDR)技術を使用してPastebinやDropboxなどのサービスから動的にC2インフラストラクチャを取得する。
取得されたデータはBase64でデコードされ、埋め込まれたRSA鍵を使用して復号化され、マルウェアはハードコードされたインジケータを回避することができる。カスタムHTTP通信を介したファイル管理、プロセス列挙、リモートコマンド実行をサポートしている。
MemFunは完全にメモリ内で動作し、複数段階の感染チェーンに従う。正当なプロセスに見せかけたローダーで始まり、その後メモリ内ダウンローダーが最終的なペイロードを取得する。
マルウェアはタイムスタンプ改ざん、dllhost.exeへのプロセス中身入れ替え、反射的DLL注入などの高度な回避技術を使用している。通信は動的に生成されたBlowfish鍵を使用して暗号化され、各セッションが一意で検出困難であることを保証している。
アクセスを拡大するため、攻撃者はMimikatzの改変版であるGetpassを展開した。このツールは認証情報を抽出し、NTLMハッシュをlsass.exeプロセスから抽出する。
属性化と分析
従来の変種とは異なり、Getpassは自動的に動作し、盗まれたデータをWinSAT.dbという名前のファイルに保存し、疑われるのを避けるため正当なWindowsデータベースを模倣する。
攻撃者は長期的なアクセスを維持することで強い作戦規律を示し、特定の情報目標に合わせた作戦を再開する前に、しばしば長期間にわたってアクティビティを一時停止した。
特定の脅威グループが確認されていないが、中国系の出所を示唆する複数の指標がある。これらにはUTC+8労働時間に合わせたアクティビティパターン、中国ベースのインフラストラクチャの使用、環境内の簡体字中国語の言語アーティファクトが含まれる。
セキュリティアナリストは、このキャンペーンをステルスと永続性を目的とした成熟したスパイ作戦と評価している。
カスタムツール、暗号化された通信チャネル、メモリ内実行への依存は、検出を免れながら機密軍事ネットワークへの長期アクセスを維持することを目的とした高度な脅威活動の広範な傾向を反映している。p>
