TokyoBlackHatNews

infosecurity-magazine.com 5分で読了

中国系の新たなハッカーが政府・通信分野を攻撃

Palo Alto Networksによると、新たに特定されたサイバー諜報グループが、過去2年半以上にわたりアフリカ、中東、アジアの政府および通信組織を標的にしてきました。

このグループは、Palo AltoのUnit 42リサーチチームによって2022年と2023年に活動クラスターCL-STA-0043として追跡されていました。

2024年には、独自の一時的なグループ分類TGR-STA-0043とキャンペーンコードネーム「Operation Diplomatic Specter」が割り当てられました。

新たなレポートによると、2025年9月30日に公開されたこの報告書で、Unit 42の研究者はTGR-STA-00043を「Phantom Taurus」という独立した脅威グループとして格上げしました。

サイバー諜報活動の一環として、このグループは外務省、大使館、地政学的イベント、軍事作戦を標的にしてきました。その活動は中国の国家的利益と一致しています。

Phantom Taurus:標的と攻撃手法

Unit 42のレポートによると、Phantom Taurusは通常、機密性の高い非公開情報を入手するために、重要な標的に対して長期的な情報収集作戦を実施します。

このグループは、外交通信、防衛関連の情報、政府の重要省庁の運営に特に関心を持っており、そのキャンペーンはしばしば世界的な主要イベントや地域の安全保障問題と時期を合わせて行われます。

Phantom Taurusは以前は侵害したメールサーバーから機密メールを流出させることに注力していましたが、最近ではデータ窃取のためにSQL Serverデータベースを直接標的にするようになっています。

このグループの作戦には、カスタムバッチスクリプト(mssq.bat)が含まれており、Windows Management Instrumentation(WMI)を介してリモートで実行し、データベースから情報を検索・抽出します。

スクリプトの動作は以下の通りです:

  1. システム管理者アカウントと事前に侵害されたパスワードを使ってSQL Serverに認証する
  2. オペレーターが指定したクエリを動的に実行する(例:アフガニスタンやパキスタンなど特定の国に関連するテーブルやキーワードを検索)
  3. 結果をCSVファイルにエクスポートし、接続を閉じる前に流出させる

この戦術的な転換は、構造化データリポジトリへの関心が拡大していることを示しており、メールベースの窃取よりも効率的に情報や機密文書を収集することを意図している可能性があります。

WMIを用いたリモート実行の活用は、検知を回避するためのLiving-off-the-land(LotL)技術への依存をさらに浮き彫りにしています。

Phantom Taurusは、Iron Taurus(別名APT27)、Starchy Taurus、Stately Taurus(別名Mustang Panda)など、中国系脅威アクターが専用で使用してきた運用インフラを利用しています。

しかし、Phantom Taurusが使用する特定のインフラ構成要素は他の脅威アクターの作戦では確認されておらず、この共有エコシステム内での運用の分業化を示しています。

さらに、Phantom Taurusは独自の技術、戦術、手順(TTPs)を用いており、他のグループとの差別化が図られています。

Phantom Taurusのダイヤモンドモデル表現。出典:Unit 42, Palo Alto Networks
Phantom Taurusのダイヤモンドモデル表現。出典:Unit 42, Palo Alto Networks

China Chopper、Potatoスイート、Impacketなどの一般的なツールに加え、このグループは他のグループの作戦ではこれまで観測されたことのないツールや、非常に稀にしか使われていない技術も使用しています。

これにはSpecterマルウェアファミリー、Ntospy、そして新たに特定されたマルウェアスイートであるNET-STARが含まれます。

NET-STAR:新たなカスタムマルウェアスイート

Unit 42のレポートは、Phantom TaurusがInternet Information Services(IIS)ウェブサーバーを標的に展開した未公開の.NETマルウェアスイートに関する調査結果を共有しています。

この新たに特定されたツールは、マルウェアのプログラムデータベース(PDB)パスに含まれる文字列に基づき、セキュリティ研究者によってNET-STARと名付けられました。「Phantom Taurusの高度な回避技術と.NETアーキテクチャへの深い理解を示しています」とUnit 42のレポートは指摘しています。

このスイートは、攻撃チェーン内でそれぞれ特定の役割を果たしつつ、標的のIIS環境内で持続性を維持する3つの異なるウェブベースのバックドアで構成されています:

  • IIServerCore:コマンドライン引数、任意のコマンドやペイロードのインメモリ実行をサポートするファイルレスのモジュール型バックドア
  • AssemblyExecuter V1:他の.NETアセンブリをディスクに書き込まずに直接メモリ上で実行するという単一の目的のために設計されたカスタム.NETアセンブリの旧バージョン(2024年のPhantom Taurusキャンペーンで使用)
  • AssemblyExecuter V2:Antimalware Scan Interface(AMSI)およびEvent Tracing for Windows(ETW)バイパス機能を備えたAssemblyExecuter V1の新たな強化バージョン(2025年初頭以降Phantom Taurusが使用)
NET-STARのIIServerCore実行フロー。出典:Unit 42, Palo Alto Networks
NET-STARのIIServerCore実行フロー。出典:Unit 42, Palo Alto Networks

翻訳元: https://www.infosecurity-magazine.com/news/new-china-aligned-hackers-phantom/

ソース: infosecurity-magazine.com
#.NET malware #AADAPT #China #China Government Involvement #China-nexus Cyber Espionage #Living off the Land #NET-STAR #Phantom Taurus #SQL Server attacks #telecommunications breach

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新