中国のハッカー集団が、南米全域の通信企業に対する初期段階のサイバー攻撃の波を解き放った。Cisco Talosのサイバーセキュリティ専門家は、これらの悪意ある行為者が通信事業者のシステムに侵入し、ハードウェアを支配し、これらのデバイスを後続の侵入のための運用ノードに変える目的で使用する、3つの新規で悪意あるツールを発掘している。
Cisco Talosは、UAT-9244として指定されたこのシンジケートの活動を厳密に追跡している。専門家の分析によると、このグループは中国のサイバースパイ活動と切り離せず結びついており、Famous Sparrowの脅威グループとの深刻な方法論的な交差を示している。2024年以降、UAT-9244は南米諸国全域の重要な通信インフラを容赦なく襲撃してきた。彼らの標的は、これらのアーキテクチャの周辺部に位置するWindowsベースのワークステーション、Linuxサーバー、およびネットワークアプライアンスに固定されている。
このキャンペーン全体を通じて、攻撃者は3つの異なる悪意あるアプリケーションを展開している。最初のペイロードはTernDoorと名付けられており、その仲間はPeerTimeとBruteEntryと呼ばれている。各ツールは高度に専門化された任務を遂行する:永続的なシステムフットホルドの確保、支配されたデバイスのリモート支配の統制、および外部サービスに対する徹底的なブルートフォース認証情報攻撃の実行。
これらの攻撃における最も重要な中核はTernDoorバックドアである。これはCrowDoorマルウェアの初期段階の進化を表しており、歴史的には中国のシンジケートFamous SparrowおよびEarth Estriesによって兵器化されたツールである。CrowDoorはその系統において、SparrowDoorとして知られた先行する悪意あるアーキテクチャから派生している。アナリストは同時に、Tropic Trooperキャンペーン内に展開された同様のツールを観察しており、この収束は、これらの異なるグループ間に深い結合組織が存在することを強く示唆している。
悪意あるコードを実行するために、敵対者はDLLサイドローディングの手口を武器化する。システムは正当な実行ファイルwsprint.exeを無邪気に呼び出し、これが意図せずに有毒なライブラリBugSplatRc64.dllをサイドロードする。その後、このライブラリはWSPrint.dllファイルを解析し、ペイロードを復号化し、ホストマシンの揮発性メモリ内でTernDoorアーキテクチャを直接実行する。
TernDoorは感染したアーキテクチャ上での絶対的なリモート支配を保証する。マルウェアはホストマシン、ユーザーID、ネットワーク構成に関するテレメトリーを積極的に収集しながら、同時に任意のコマンドを実行し、プロセスを生成し、ファイルを盗む。このバックドア内に組み込まれているのは暗号化されたWindowsドライバーである。このドライバーはプロセスを停止、再開、および削除する強力な機能を備えており、この機能は悪意あるコードの動的活動を巧みに隠蔽する。
エコシステム内で永続的なフットホルドを確保するために、悪意ある行為者はWSPrintという名称のWindowsスケジュール済みタスクを作成し、悪意あるソフトウェアがシステム起動時に自動的に復活することを保証する。さらに、有毒なコードは特定のレジストリキーを操作して、このスケジュール済みタスクの存在を隠蔽する。時には、プログラムは独自の自動起動キーをレジストリに直接挿入し、ユーザーがシステムの閾値を超える瞬間の実行を保証する。
TernDoorの戦術的指令はコマンド・アンド・コントロール中枢から発生する。マルウェアは事前に決められたIPアドレスとの通信を確立し、その構成マトリックス内に変わらないハードコードされた接続パラメータを活用する。これらのパラメータには、コマンドサーバーのアドレス、指定されたポート、許可された接続試行の定数、および特定のUser-Agentストリングが含まれる。
Windowsを中心としたバックドアを超えて、UAT-9244は補助的なツールを展開する:PeerTimeである。このアーキテクチャはLinuxエコシステム内でのみ動作し、多数のプロセッサアーキテクチャに対応するために細心の注意を払ってコンパイルされたELFバイナリとして配布される。このような不可知論的アプローチは、ネットワークアプライアンスと組み込みシステムを明示的に含む、彼らの感染リーチを深く拡張する。
PeerTimeはシェルスクリプトを経由して展開され、ローダーと補助モジュールのダウンロードを統制する。マルウェアはホストのDockerの存在について厳密に監査し、必要と判断された場合、コンテナの保護された範囲内でコードを実行する。バイナリのアーキテクチャの奥深くで、専門家は中国語(標準中国語)で表現されたデバッグ文字列を発掘し、ツールの出所を取り返しのつかないほどに証拠づけた。
実行後、PeerTimeはBitTorrentプロトコルを活用して、コマンドノードと補助的に感染したデバイスとの分散化された通信を確立する。このピアツーピアの迷宮を横断して、マルウェアは戦術的コマンドを取得し、ファイルを吸い上げ、支配されたホスト上で実行する。現在、アナリストはこのソフトウェアの2つの反復を監視している:C/C++で構築された基礎バージョンと、Rustで設計された、より初期段階の進化である。特定のアーキテクチャ内では、マルウェアは防御の目を逃れるために、日常的で無害なプロセスになりすまします。
第3のツール、BruteEntryは、支配されたデバイスを、巨大なブルートフォース認証情報攻撃を実行するために専用の秘密プロキシノードに変える。そのような侵害されたコンジットは、Operational Relay Boxes(ORB)として指定される。通常、この悪意あるソフトウェアは、インフラストラクチャの周辺部を保護するネットワークアプライアンスに据え付けられている。
成功した侵潜に続いて、BruteEntryはコマンドサーバーと通信し、システムのIPアドレスと名前をブロードキャストする。中枢は運用指令の宣言書を発送して応答する。つまり、包囲される予定の目標アドレスの細心の注意を払ってキュレートされた帳簿である。その後、マルウェアはSSHサービス、PostgreSQLデータベースサーバー、およびApache Tomcatウェブインターフェースの暗号化防御を破るために積極的に試みる。
もしこのブルートフォースの努力が実を結んだ場合、感染したコンジットは盗まれた認証情報をコマンドサーバーに中継する。したがって、支配されたデバイスのこの広大なウェブは、段階的ながら逃げられないほどに、敵対者の新興システムに対する支配を拡大する。
Cisco Talosの専門家は、UAT-9244がそのインフラストラクチャを積極的に増強し、その悪意ある兵器庫を絶えず進化させていることを強調している。同時に、このグループと、Salt Typhoonと名付けられた補助的な中国の作戦との間に直接的な結合を決定的に確立する努力は、両キャンペーンが通信企業に対する精密な焦点を共有しているにもかかわらず、依然として捉えがたい。
