新たな中国APT、精密かつ執拗な攻撃を展開

出典：Macholicious / Shutterstock

これまで文書化されていなかった中国の国家支援型アクターが、アフリカ、中東、アジアの政府機関、大使館、軍事作戦、その他の組織を標的に、極めて巧妙かつステルス性と持続性に優れたサイバー諜報活動を展開しています。

このキャンペーンが他の中国関連の活動と異なる点は、脅威アクターがエンドユーザーへの通常のソーシャルエンジニアリングではなく、関心のある組織の高価値システムを直接狙う戦略を取っていることです。

精密な攻撃

「Phantom Taurusは、その精密な攻撃、前例のない持続性、そして高度に洗練されたカスタムツールキットの使用によって、他の中国APTとは一線を画しています」と、Palo Alto NetworksのUnit 42グループ脅威リサーチディレクター、Assaf Dahan氏は述べています。多くの中国の脅威アクターが広範なフィッシングキャンペーンに頼るのに対し、Phantom Taurusの手法ははるかに精密であると、2023年6月からこの活動を追跡しているDahan氏は述べています。

Phantom Taurusのアクターは、ユーザーを完全に迂回し、脆弱なWebやメールサーバーなどの重要インフラを綿密に調査した上で直接標的にすることが多いといいます。「この集中したアプローチにより、彼らは必要な情報へのアクセスをもたらす正確なシステムや個人を特定できます。」

脅威を増幅させているのは、Phantom Taurusの持続性です。多くのAPTが発覚後、数週間から数か月活動を停止して再編成するのに対し、Phantom Taurusは数時間から数日で再び現れるとDahan氏は述べます。「再発覚のリスクを冒してでもアクセスを維持しようとする姿勢は、彼らの任務の重大性と、あらゆる手段でアクセスを維持しようとする決意を示しています。」

Unit 42は当初、この脅威アクターをCL-STA-0043、後にTGR-STA-0043、別名「Operation Diplomatic Specter」として追跡していました。セキュリティベンダーは、過去1年間の脅威活動を分析した結果、このグループを新たな中国関連APTとして正式に指定することを決定しました。

要するに、Phantom Taurusの任務は、中国政府にとって経済的・地政学的に関心のある機密性・非公開情報を収集することのようです。これには、外交通信、軍事情報、その他の政府情報、特に主要な地域・国際イベントに関連するものが含まれます。

当初、脅威アクターは被害組織のメールサーバーに侵入し、メッセージを盗むことで情報を収集していました。最近では、Phantom Taurusは求めるデータを含むデータベース自体を直接狙うようになっています。今年初めから、脅威アクターは「mssq.bat」スクリプトを使い、事前に入手したシステム管理者の認証情報でSQL Serverデータベースに接続しています。グループはカスタムSQLクエリで特定のテーブルやキーワードを検索し、該当する結果をすべてエクスポートした後、接続を切断しています。

新たな.NETマルウェアスイート

さらに、Unit 42はPhantom Taurusが「NET-STAR」として追跡している新しい.NETマルウェアスイートを使用し、Internet Information Services（IIS）Webサーバーへの侵入を行っていることを発見しました。このマルウェアはほぼ完全にメモリ上で動作し、ファイルレスのバックドアとして暗号化されたC2（コマンド＆コントロール）セッションを確立します。バックドア（IIServerCore）はコマンドやエンコードされた.NETペイロードを受け取り、侵害されたシステム上で任意のコード実行など様々なタスクを実行できます。容易な検出を回避するため、脅威アクターはファイルシステムのタイムスタンプを他のファイルと一致するように改ざんしています。

Unit 42の研究者はまた、NET-STARが2つのAssemblyExecuterローダー（v1と強化されたv2）を含み、Phantom Taurusアクターが追加の.NETマルウェアを動的にロードできることを発見しました。Unit 42によれば、新しいv2バージョンには、Antimalware Scan Interface（AMSI）バイパスやEvent Tracing for Windows（ETW）バイパスなど、高度な回避技術が追加されています。

「このツールキットはWindows環境への深い理解を示しており、IIServerCoreのような高度なコンポーネント、つまり検出を回避するためにメモリ上で実行されるファイルレスバックドアを含んでいます」とDahan氏は述べます。「AssemblyExecuter V2は、AMSIやETWなどの最新のセキュリティツールをバイパスする機能を内蔵したペイロードであり、組織の防御を実質的に無力化します。」

Phantom Taurusの運用手法は、他のカスタムマルウェアによっても支えられています。「メール流出には、これまで文書化されていなかったTunnelSpecterおよびSweetSpecterというバックドアファミリーを展開し、メールサーバーを侵害してOPEC、軍事情報、国際関係などのトピックに関連するキーワード検索に基づき、メールボックス全体を盗み出します」とDahan氏は述べています。

興味深いことに、Phantom Taurusは他の中国系高度持続的脅威（APT）とは異なる戦術や技術を用いる一方で、その攻撃インフラの多くはそうではありません。Unit 42は、脅威アクターがIron Taurus（別名APT27）、Starchy Taurus（別名Winnti）、Stately Taurus（別名Mustang Panda）など、他の既知の中国APTグループと明確に重複するサーバーやインフラを使用していることを発見しました。

Phantom Taurusが使用しているC2は、他の脅威グループが使用しているものと同じIPアドレスを持ち、キャンペーンで使われている多くの悪意あるドメインは同じ登録情報や同じホスティングプロバイダーを利用していると、Dahan氏は付け加えています。