CL-STA-1087として追跡される高度なサイバースパイ活動が、東南アジア全域の軍事組織への侵入に成功しました。
2020年以降少なくともアクティブなこの長期間継続している作戦は、カスタム製バックドアと認証情報窃取ツールを用いて重要な軍事情報を収集しています。
アナリストは、中国と関係のある脅威行為者がこの継続的なネットワークを運用していると中程度の確信度で評価しています。
大規模なデータ窃盗を実行するのではなく、攻撃者は指揮統制システム、軍事構造、共同作戦データなど高価値目標に的を絞っています。
侵害の初期発見は、エンドポイントセキュリティツールによって検出された疑わしいPowerShellコマンドに由来します。調査官は、攻撃者がすでにネットワーク上の管理されていないエンドポイントを侵害していたことをすぐに発見しました。
彼らは複数の指揮統制サーバーへのリバースシェルをトリガーする遅延スクリプトを使用して初期の足がかりを確立しました。自動セキュリティスキャナーから隠れるため、これらの悪意あるスクリプトは6時間の長期間にわたって休止状態のままでした。
攻撃者は数ヶ月間完全に休止状態を保つことで顕著な運用規律を示しました。再度活性化されると、ネイティブなWindows Management InstrumentationおよびNETコマンドを使用して被害者ネットワーク全体に横展開しました。
脅威行為者は侵害された環境全体に主要なバックドアであるAppleChrisを展開しました。このマルウェアはDead Drop Resolverを使用して、PastebinやDropboxなどのサービスからエンコードされたデータを取得することで、指揮統制インフラストラクチャを安全に特定します。
マルウェアはその後このデータを復号化し、組み込みの秘密鍵を使用して、防御者が静的ネットワークインジケータを特定することを防止します。接続されると、AppleChrisは攻撃者がファイルを操作し、実行中のプロセスを監視し、カスタムHTTPリクエストを通じてリモートコマンドを実行することを可能にします。
AppleChrisを補完するために、攻撃者はMemFunを利用しました。これはシステムメモリ内で完全に動作する多段階バックドアです。
ローダーから始まり、ディスクに書き込まずにサーバーから最終ペイロードを取得します。MemFunはファイルタイムスタンプを操作し、Windows DLLホストなどの正規のシステムプロセス内にそのコードを隠すことで、検出を積極的に回避します。
また、セッションごとに一意で動的に生成されたBlowfish暗号化キーを使用して、ネットワークトラフィックが高度に難読化されたままであることを保証します。
認証情報窃盗のために、当キャンペーンは人気のあるMimikatzツールの大幅な修正版であるGetpassに依存しています。GetpassはWindows LSASSメモリプロセスを対象として、プレーンテキストパスワードとネットワーク認証ハッシュを抽出します。
標準バージョンとは異なり、Getpassは自動的に実行され、盗まれた認証情報をWinSAT.dbという名前のファイル内に隠し、通常のシステムデータベースのように見せかけます。
研究者がこの活動を具体的に命名されたのpolyswarm脅威グループに正式にリンクしていませんが、複数の手がかりが中国ベースの作戦を指しています。
攻撃者は一貫としてUTC+8営業時間中に活動し、インフラストラクチャのために中国ベースのクラウドホスティングプロバイダーを利用しています。
さらに、調査官がコマンド環境内で簡体字中国語の言語要素を発見し、中国のネクサスへの帰属を強化しました。
翻訳元: https://cyberpress.org/china-hackers-breach-military-systems/