出典:Keren Su/China Span(Alamy Stock Photo経由)
中国の脅威アクターが、東南アジア全域の組織を標的に、オープンソースのサーバー運用・保守ツール「哪吒(Nezha)」を使って侵害を行っています。
哪吒(Nezha)は、管理者が複数のサーバーを同時に監視・管理できるよう設計された軽量プログラムです。GitHub上で約1万件のスターを獲得しており、主に中国国内だけでなく海外のユーザーにも積極的に利用されています。つまり、本来は無害で、これまで不正な目的で使われたことはありませんでした。
しかし、ハッカーはしばしば、悪意のある目的に転用でき、かつ通常のネットワークトラフィックに紛れ込める無害なツールを好みます。Huntressが調査した進行中のキャンペーンでは、攻撃者が公開されたWebサーバーパネルを悪用して哪吒(Nezha)を展開し、最終的に情報窃取型マルウェア(インフォスティーラー)を落としました。同様の攻撃は世界中の組織で発生していますが、主に東南アジア地域に集中しています。
オープンWebアプリの感染
攻撃者は、さまざまな哪吒(Nezha)対応システムに対し、何らかの手段で初期感染を実現しているようです。特に巧みに使いこなしている戦術は、Webアプリケーションログのポイズニング(汚染)です。
Huntressが分析し、ブログ記事で水曜日に詳細を公開した侵害事例では、被害組織はphpMyAdminを稼働させていました。これは、MySQLやMariaDBデータベースを管理するためのオープンソースのグラフィカルインターフェースツールで、主にWebベースのツールとして提供され、管理者がどこからでもデータベースを管理できるようになっています。
ただし、ユーザーがWeb経由でphpMyAdminにアクセスできる場合、インターネット経由の攻撃者が同じことをできないようにすることが重要です。幸い、管理者はサーバーの設定でそれを防ぐことができます(認証の強制、IPアドレスによるアクセス制限など)、またはアプリ自体の設定でアクセス制御を行うことも可能です。
Huntressが観測したケースでは、理由は不明ですが、感染したサーバーには認証チェックが一切なく、誰でもインターネット経由で簡単にアクセスできる状態でした。
Huntressの主任セキュリティオペレーションアナリスト、Jai Minton氏は次のように説明しています。「phpMyAdminのインターフェースは、基盤となるデータベースへの認証を利用してアクセスを許可します。通常は、基盤となるデータベースと同じパスワードやユーザーアカウントが必要です。しかし、テスト目的で簡単に立ち上げられる製品も存在します。今回のケースでは、そのような製品をインストールし、必要な認証設定をデータベースに追加していなかったようです。」
公開されたphpMyAdminインスタンスにより、攻撃者は正規の管理者と同様にサーバーとやり取りし、コマンドを実行できました。その権限を使い、ログポイズニング攻撃を実施。基盤データベースのログをWeb経由でアクセス可能な実行ファイルとして保存するよう設定し、そこにWebシェルを隠したクエリを送信しました。これらの操作は迅速に行われており、ログポイズニングに熟練していることがうかがえます。
Webシェルの設置後、攻撃者はIPアドレスを切り替えました。これは運用上のセキュリティ対策か、別の脅威アクターにアクセスを引き渡した可能性もあります。
哪吒(Nezha)および他のオープンソースペイロードの展開
攻撃者は、AntSwordというプログラム(中国系脅威アクターに一般的)を使ってシェルを管理し、その後哪吒(Nezha)をダウンロードしました。
「西洋諸国で一般的なリモート監視・管理(RMM)ツールと同じようなものだと考えれば分かりやすい」とMinton氏は語ります。RMM同様、その正規機能の多くは悪意ある文脈でも再利用可能です。「コマンドの実行、バイナリの展開、インストールされたシステムの管理が可能です。攻撃者にとっては、インストールされたシステムを自由に制御できることを意味します。」
ここで攻撃者は哪吒(Nezha)を自身のC2(コマンド&コントロール)サーバーに接続し、インタラクティブなPowershellセッションを実行、Windows DefenderのC:ドライブ全体をスキャン対象外とする広範な除外ルールを作成しました。最後に、すべての下準備が整ったところで、広く知られるGh0stRATを投下しました。
使用されたツール、マルウェア、ドメイン、標的となった被害者はいずれも、「これまで十分に報告されてこなかった能力の高い中国系脅威アクターを示唆している」とHuntressの研究者らはブログ記事で結論付けています。
今年8月以降、このキャンペーンの一環として、6大陸100以上の組織が哪吒(Nezha)とGh0stRATに感染しており、グアテマラ、スロバキア、タンザニアの標的も含まれます。主な被害は東南アジア諸国(日本、韓国、香港、シンガポール、マレーシア、そして最も多いのは台湾)に集中しています。また、被害組織の多くは国際的なメディアコングロマリットや台湾の大学など、規模の大きい組織も含まれています。
「この活動は、攻撃者が新たに公開されたツールを積極的に悪用する傾向が強まっていることを示しています」と研究者らはブログ記事で結論付けています。正規の目的で設計されたツールであっても、「調査コストが低く、特注マルウェアに比べてもっともらしい否認が可能であり、セキュリティ製品に検知されにくい」ため、不正目的にも有用となり得ます。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/china-nexus-actors-nezha-open-source-tool
