出典: Pixels Hunter via Shutterstock
悪名高い中国の脅威グループAPT41は、Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure、Alibaba Cloud環境から認証情報を盗むため、Linuxベースのクラウドワークロードを標的にした検出不可能なバックドアマルウェアを使用しています。
APT41(別名Winnti、Wicked Panda、Barium、Silver Dragon、Brass Typhoon)に帰属するバックドアは、クラウドネイティブ実行可能リンク可能形式(ELF)で記述されており、SMTPポート25をひそかなコマンドアンドコントロール(C2)チャネルとして使用して、その活動をShodanやCensysなどの従来のスキャンツール「見えなくしています」。Breakglass Intelligenceからの最近のレポートによると。
「ELFバイナリはLinuxクラウドインスタンスでの永続性を目的として設計された、ストリップされた静的にリンクされたx86-64実行ファイルです」とレポートに述べられています。「分析時点では、VirusTotal上でゼロ検出を保有しています。」
バックドアはAPT41による少なくとも6年間のクラウドネイティブツール開発投資の成果であり、「基本的なリバースシェルから、スキャナ耐性C2を備えた目的構築クラウド認証情報ハーベスタへと進化しています」とレポートに述べられています。このキャンペーンはまた、タイポスクワッティングを悪用してその悪意あるネットワーク活動を隠蔽し、追跡を特に難しくしていると研究者は述べています。
APT41は2012年に初めて確認された、現在活動中で最も多産な中国関連の脅威グループの一つであり、北京に代わってスパイ活動を行う一方で、サイバー犯罪に従事して金銭的利益を追求しています。単一の脅威アクターグループというより集団であるAPT41は、米国政府に2020年に5人のメンバーを起訴されました。彼らは世界中の100社以上への攻撃に参加または貢献した罪です。しかし、これらの起訴はこれまで、グループの活動を止めるほどの抑止力となっていません。
回避のためのタイポスクワッティング
最近発見されたAPT41作戦は、従来のエンドポイントではなく最新のクラウドワークロードを標的にしており、ELFバックドアを使用してさまざまな環境からクラウドプロバイダーの認証情報とメタデータを収集しています。デプロイされると、バックドアはすぐにAWSインスタンスメタデータサービス(おなじみの169.254.169.254エンドポイント)をプローブし始め、ホストのクラウドアイデンティティに関連付けられた一時的な認証情報を抽出します。
権限が過度に広い環境では、この単一のステップがはるかに広範なアクセスへの扉を開く可能性があります。Breakglassによると、バックドアはAzure、Alibaba、GCPの他のサービスもクエリします。
さらに、グループが使用する3つのタイポスクワッティングドメインは、このキャンペーンの追跡を特に困難にしています。オペレータは合法的なAlibaba Cloudサービスに似たドメインに依存し、また中国のサイバーセキュリティブランドQianxinを使用して、古典的なタイポスクワッティング技術を採用し、悪意あるトラフィックを通常の操作の背景ノイズに混ぜ込んでいます。
「3つのドメイン全てはNameSiloを通じて24時間のバースト期間(2026年1月20~21日)内に登録され、プライバシー保護が有効化されています」とレポートに述べられています。「この登録パターンはAPT41のインフラストラクチャ調達手法と一致しており、予算登録機関を通じた一括登録、WHOIS プライバシー、その後の即座のデプロイメントが行われます。」
実際、合法的なクラウドサービスを活用してC2トラフィックを隠蔽することは、APT41に典型的な動作であり、脅威アクターが悪意ある活動を隠すために頻繁に使用される戦術です。さらに、防御者がインフラストラクチャを特定したとしても、キャンペーンで使用されるC2サーバーは意図的にカジュアルなプローブに応答しません。Breakglassによると、マルウェアの正確な通信パターンを模倣したトラフィックとのみ関わっています。
検出と予防
クラウド認証情報は王国への鍵であり、敵がそれらを一度取得すると、クラウド環境内で合法的なユーザーとして行動し、サービス全体を混乱させ、権限をエスカレートし、通常のマルウェアフットプリントを残さずにアクセスを維持することができます。
バックドアを使用してAPT41が組織のクラウド環境に侵入したかどうかを検出するために、Breakglassは迅速な修復のための、ネットワークベース、ホストベース、クラウドネイティブ検出に関するアドバイスを提供しました。
ネットワークレベルでAPT41の活動を検出するために、防御者はメール以外のワークロードからの送信SMTP(ポート25)トラフィックを監視する必要があります。これらは接続を開始すべきではありません。また彼らはポート6006へのUDPブロードキャストトラフィックにアラートを設定する必要があります。これは異常なトラフィックを示す非標準サービスポートです。さらに、組織はBreakglassに従って43[.]99[.]48[.]196への接続と3つのタイポスクワッティングドメインをロックまたは監視できます。
ホストベースの検出の場合、防御者はクラウド認証情報ファイルの予期しない読み取りを監査し、標準以外のプロセスからのクラウドインスタンスメタデータAPIコールを監視できます。合法的なSDKとコマンドラインインターフェイスは既知のプロセス名を持つため、/tmp、/var/tmp、/dev/shmなどの予期しない場所にストリップされた静的にリンクされたELFバイナリがないか調査することもできます。
クラウドネイティブ検出には、AWS CloudTrailとGoogle Cloud Audit Logsを有効にし、予期しないソースIPからの認証情報使用にアラートを設定し、異常なパターンのIAMロール仮定イベントをレビューし、メタデータアクセスのセッショントークンを要求するIMDSv2(AWS)を実装することが含まれます。これは認証情報盗難の障壁を高めます。Breakglassによると。
翻訳元: https://www.darkreading.com/cloud-security/apt41-zero-detection-backdoor-harvest-cloud-credentials
