研究者らは、これまで別々に追跡されていた悪意のある活動のクラスターを、今年になって戦術を高度化させた1つのグループに帰属させました。このグループは、これまで文書化されていなかったMicrosoft IISバックドアを新たに武器として追加しています。
研究者らは、中国の情報収集の関心と一致する、これまで知られていなかった脅威アクターを文書化しました。このグループは主に、アフリカ、中東、アジアの政府機関や通信事業者を標的とし、重要なシステムへの長期的な隠密アクセスの維持を目的としています。
過去2年間、Palo Alto Networksの研究者たちは、これまで別々に調査されていた悪意のある活動のクラスターを、同じグループ、すなわちPhantom Taurusに帰属させました。以前は、同社はこれらの攻撃をCL-STA-0043、TGR-STA-0043、またはOperation Diplomatic Specterなどの仮名で追跡していました。
「我々の観察によると、Phantom Taurusの主な焦点は外務省、大使館、地政学的イベント、軍事作戦などです」と研究者らは新しいレポートの中で述べています。「このグループの主目的はスパイ活動です。攻撃はステルス性、持続性、そして戦術・技術・手順(TTPs)を迅速に適応させる能力を示しています。」
このグループが独自に開発したマルウェアツールの広範なツールセットの一部には、研究者がNET-STARと名付けた、これまで文書化されていなかったMicrosoft Internet Information Services(IIS)ウェブサーバー用の3つのバックドアスイートが含まれています。他にも、インメモリのVisual Basicスクリプトインプラント、「Specter」と呼ばれるマルウェアファミリー(TunnelSpecter DNSトンネリングプログラムやSweetSpecterリモートアクセス型トロイの木馬を含む)、Agent Racoon、PlugX、Gh0st RAT、China Chopper、Mimikatz、Impacket、その他多くのデュアルユースツールやシステム管理ユーティリティが含まれます。
戦術の変化
以前は、Phantom TaurusはProxyLogon(CVE-2021-26855)やProxyShell(CVE-2021-34473)などの既知の脆弱性を利用して侵害したExchangeサーバーから、関心のあるメールボックスの収集に注力していました。しかし今年、研究者たちは攻撃者がSQLデータベースの検索およびデータ抽出を開始したことに気付きました。
このグループは、Windows Management Instrumentation(WMI)ツールを使い、mssq.batというスクリプトを実行します。このスクリプトは、攻撃者が事前に入手したパスワードでsa(システム管理者)IDを使ってSQLデータベースに接続します。その後、スクリプトで指定された特定のキーワードを動的に検索し、結果をCSVファイルとして保存します。
「脅威アクターはこの手法を使い、アフガニスタンやパキスタンなど特定の国に関連する関心文書や情報を検索していました」と研究者らは述べています。
NET-STARマルウェアスイート
今年、Phantom Taurusのツールセットに新たに加わったのは、IISウェブサーバーと連携するために設計されたウェブベースのバックドア群です。
主要コンポーネントであるIIServerCoreは、w3wp.exe IISワーカープロセスのメモリ内で動作し、他のファイルレスペイロードを直接メモリにロードしたり、任意のコマンドやコマンドライン引数を実行することができます。
「IIServerCoreの初期コンポーネントは、OutlookEN.aspxというASPXウェブシェルです」と研究者らは記しています。「このウェブシェルには、Base64で圧縮されたバイナリであるIIServerCoreバックドアが埋め込まれています。ウェブシェルが実行されると、w3wp.exeプロセスのメモリにバックドアをロードし、IIServerCoreのメイン関数であるRunメソッドを呼び出します。」
もう一つのコンポーネントであるAssemblyExecuter V1は、.NETアセンブリのバイトコードをメモリ上で実行するために設計されています。一方、強化版のAssemblyExecuter V2は、Antimalware Scan Interface(AMSI)やEvent Tracing for Windows(ETW)を回避することが可能です。
「このコンポーネントの一見無害なコード構造により、この記事執筆時点ではVirusTotal上のウイルス対策エンジンによる検知が最小限に抑えられています」と研究者らは述べています。「これは、脅威アクターが検知システムに悪意があると解釈されるような露骨なコードを避けるツールを作成するために利用できる手法を示しています。」
Phantom Taurusは、過去にIron Taurus(別名APT27)、Starchy Taurus(別名Winnti)、Stately Taurus(別名Mustang Panda)など他の中国系脅威アクター専用とされていたAPT運用インフラを利用しています。しかし、Phantom Taurusが使用する特定のインフラコンポーネントは他のグループでは確認されておらず、これは本グループが独立して活動を分離していることを示唆しています。
