中国系ハッカーがELFを使ってクラウドに侵入し、認証情報を盗んだ方法

中国系のハッカーは、Linux ベースの ELF バックドアを展開して、AWS、GCP、Azure、Alibaba Cloud 環境全体のワークロードから大規模にクラウド認証情報を盗んでいます。

Breakglass Intelligenceの調査結果によると、このバックドアは「ゼロ検出」技術を使用しており、SMTP ポート25をコマンド・アンド・コントロール（C2）チャネルとして使用して、クラウドプロバイダーの認証情報とメタデータを収集しています。

「選別されたC2ハンドシェイク検証メカニズムにより、サーバーはShodanやCensysなどの従来のスキャンツールに対して見えなくなります」とBreakglass研究者はブログ投稿で述べています。盗まれた認証情報は、シンガポールのAlibaba Cloudインフラに置かれた、Alibabaをテーマにした3つの偽装ドメインに送信されます。

APT41（Winnti）グループとして知られるこのキャンペーンは、IAMロール認証情報、サービスアカウントトークン、マネージドアイデンティティトークン、RAMロール認証情報などの機密クラウド認証情報をターゲットとしています。

メタデータは新しいパスワードへ

実行されると、マルウェアはインスタンスメタデータサービス（通常は169.254.169.254で公開されている）をクエリして、ホスト環境に属するアクセストークンと設定データを取得します。

クエリは環境によって異なります。AWSの場合はIAMロール認証情報、GCPではサービスアカウントトークン、Azureではイムズエンドポイントからのマネージドアイデンティティトークン、Alibaba CloudではECSメタデータからのRAMロール認証情報に対して実行されます。

研究者はまた、UDPブロードキャストの形式での横移動ビーコンを指摘しました。「インプラントは定期的にローカルネットワークセグメント内の「255.255.255.255:6006」にUDPブロードキャストパケットを送信します」と彼らは述べています。「これらのブロードキャストには、他の侵害されたホストが受け取ることができるエンコードされたビーコンが含まれており、追加のC2トラフィックなしにピアツーピア調整と横方向のタスク配信が可能になります。」

研究者はWinntiの活動を2020年までさかのぼり、これは6年前のキャンペーンであり、最初に記録された「PWNLNX」バリアントは基本的なリバースシェルとXOR暗号化を使用していました。それ以来、多くの変化がありました。

クラウドネイティブスパイ活動のためのタイポスクワッティング

研究者が指摘したように、このキャンペーンは欺きに大きく依存しており、正規のAlibaba Cloudサービスに非常に似たC2ドメインを使用しています。タイポスクワッティング戦略により、悪意のあるトラフィックが定期的なクラウド操作に融合することができ、特にアウトバウンドフィルタリングが存在しない環境では融合します。

使用されるインプラントは難読化されたELFバイナリであり、Linuxクラウドインスタンス内でアクセスを取得し維持するように設計された実行ファイルです。研究者によると、バイナリは分析時にVirusTotalで全く検出されず、彼らの「ゼロ検出」主張をサポートしています。

マルウェアはまた、意図しないプローブに応答しず、C2インフラストラクチャは正しい（悪意のある）ハンドシェイクが確立されない限り沈黙を保ちます。これは自動スキャンとサンドボックスを混乱させます。

さらに、SMTP（ポート25）を介した通信はステルスの層を追加します。従来のC2トラフィックはHTTP/Sに固執していますが、ここではSMTPを使用して、ポート25トラフィックが予想されるレガシーまたは設定が間違っている環境に融合します。「多くのクラウドセキュリティツールはSMTPトラフィックをC2パターンについて深く検査していません」と研究者は指摘しました。「ポート25のエグレスフィルタリングはクラウドプロバイダー間で一貫していません。」

指標と検出

ステルスの使用にもかかわらず、研究者は@Xlab_qaxによる独立した研究の助けを借りて、ドットをつなぎました。このキャンペーンとその系統をAPT41に高い確信度で帰属させました。研究者が共有した指標には、ファイルとネットワーク署名（ドメインとポート）が含まれます。彼らはまた、数年にわたるキャンペーンの広い理解のためにMITRE ATT&CKタクティクスのリストを含めました。Breakglass開示は、レイヤー全体での行動駆動型検出アプローチを指しました。