ルーメン・テクノロジーズ傘下の脅威インテリジェンスチーム、Black Lotus Labsは最近、約2年間未発見だった攻撃キャンペーンの新たな手口を暴露しました。このキャンペーンは非常に洗練されており、国家の支援を受けている可能性があります。最も興味深い特徴の一つは、非常にステルス性に優れていることに加え、小規模オフィス/ホームオフィス(SOHO)のルーターを最初の侵入ポイントとして狙っていることです。
ZuoRAT攻撃チェーン
この攻撃キャンペーンの開始時には、SOHOルーター向けにコンパイルされたMIPSファイルが、既知の脆弱性を悪用してルーターにプッシュされます。このファイルは、研究者によってZuoRATと名付けられたマルウェアで、感染したコンピュータのデバイスとLANitがアクセスできる情報を収集するように設計されています。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
感染すると、マルウェアはホストと内部LANを列挙します。感染デバイスを介して送信されるネットワークパケットをキャプチャし、事前定義されたルールセットに基づいてDNSやHTTPハイジャックなどの中間者攻撃を実行する機能を備えています。これらのルールは取得できませんでしたが、ラボでは、このハイジャック操作が、ローカルネットワーク内のマシンに後続のシェルコードローダーを展開するためのアクセスベクトルであると仮定しています。
マルウェアは実行時に、ルーターのパブリックIPアドレスを取得するために、様々なオンラインサービスに問い合わせを行います。どのサービスからも回答が得られない場合、マルウェアは自身を削除します。
ZuoRAT は、すでに数年にわたって世界中のさまざまな IoT デバイスを標的にしてきた Mirai マルウェアの大幅に改変されたバージョンのようです。
いくつかの SOHO ルーターもプロキシ C2 ノードとして使用されており、調査がさらに困難になっています。
次のステップは、ルータからネットワークのワークステーションに切り替え、Windows ローダーを展開して、3 つの異なるトロイの木馬 (CBeacon、GoBeacon、CobaltStrike) のいずれかをダウンロードして実行することです (図 A )。
図A
Windows ローダー
脅威アクターが使用するWindowsローダーはC++で記述されています。興味深いことに、このローダーは、無効ではあるものの、本物のTencent証明書を組み込むことで、正規のTencentアプリケーションに偽装しようとします。
ローダーは C2 サーバーにアクセスし、次の段階である CBeacon、GoBeacon、または Cobalt Strike の実行をダウンロードして実行します。
シービーコン
CBeaconは、C++で開発されたカスタムRATで、ファイルのアップロードとダウンロード、シェルコードの実行、任意のコマンドの実行、そして感染マシン上での永続化が可能です。また、実行中のコンピュータに関する情報(コンピュータ名、ユーザー名、オペレーティングシステム情報など)を取得し、脅威アクターが管理するC2サーバーに送信します。
ゴービーコン
GoBeaconは、カスタム開発された別のRATで、こちらはGoプログラミング言語で記述されています。CBeaconと同じ機能を備えていますが、クロスコンパイルによりLinuxとmacOSで実行可能です。ただし、本稿執筆時点ではこれらのOS向けのバージョンは発見されていません。
コバルトストライク
Cobalt Strikeは、ペネトレーションテスターと攻撃者の両方が一般的に使用する、既知のリモートアクセスおよび攻撃フレームワークです。2022年4月に発見されたサンプルは、中国のTencent Cloudに属するハードコードされたIPアドレスと通信していることが判明しました。このサンプルは、以前分析されたZuoRATのサンプルと同様のPDB文字列を含んでいました。
ZuoRAT に感染したデバイスとターゲット
研究者によるテレメトリ分析によると、ASUS、Cisco、DrayTek、Netgearなど、多数のSOHOメーカーからの感染が確認されています。しかし、本研究の発表時点では、JCQ-Q20ルーターモデルに影響を与えるエクスプロイトスクリプトしか発見されていませんでした。このケースでは、攻撃者は2020年に既知のエクスプロイトを利用して認証情報を取得し、ルーターにアクセスしてZuoRATを正常にロードすることに成功しました。
有効な認証または認証バイパスを取得するためのコマンド ラインを挿入し、デバイスに ZuoRAT をダウンロードして実行するという方法は、すべてのルーターで使用されている可能性が非常に高いです。
テレメトリによると、ZuoRATと関連するキャンペーン活動は、主にアメリカと西ヨーロッパの組織を標的としています。9ヶ月間で少なくとも80の組織が影響を受けましたが、研究者たちは実際にはさらに多くの組織が影響を受けている可能性が高いと推測しています。
ZuoRAT の脅威アクターのスキルはどの程度ですか?
このキャンペーンは非常に専門的な方法で実行されています。この種の攻撃の高度さから、研究者たちはこのキャンペーンが国家支援組織によって実行された可能性があると考えています。
検知を回避するための強力な対策が講じられてきました。特に攻撃インフラは厳重に保護されていました。初期のエクスプロイトは、無害なコンテンツをホストする仮想プライベートサーバーから実行され、複数の侵害されたルーターがC2サーバーへのアクセスプロキシとして利用されました。これらのプロキシルーターは、検知を回避するために定期的に切り替えられていました。
脅威アクターは、PDB デバッグ文字列を含め、中国語の文字や単語を複数回使用し、アリババが所有するクラウドベースのナレッジベースである Yuque などの中国のサービスを利用してシェルコードを保存していました。
しかし、脅威アクターは、使用したIPアドレスの1つにアラビア語のコンテンツもアップロードしていました。このコンテンツはキャンペーンの他の部分とは関連がないため、研究者は、これは疑惑を回避するための策略ではないかと考えています。
攻撃者の最終目的は不明ですが、使用された手法は金融犯罪ではなくサイバースパイ活動と一致しています。
この脅威から身を守る方法
一般的な脆弱性による侵害を防ぐために、ルーターを定期的に再起動し、ファームウェアとソフトウェアにパッチを適用してください。
企業からインターネットにアクセスできるすべてのサービスやアクセスに多要素認証を導入してください。こうすることで、たとえ認証情報が漏洩したとしても、攻撃者は別の認証チャネルを利用できなくなるため、ログインできなくなります。
このような脅威を検出するには、ホストおよびネットワーク上で動作する、適切に構成された最新の検出ソリューションも導入する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
