ESETは、少なくとも2018年から活動し、米国の公共事業部門企業やアフリカ、中東の外交機関を標的にしていたTA410と呼ばれるサイバースパイ脅威アクターに関する新たな発見を発表しました。
参照:モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
この脅威アクターは、中国国家安全部とつながりのあるサイバースパイ脅威アクターである APT10 とゆるく関連しています。
TA410: 1つのグループではなく、3つのグループ
当初は単一の脅威アクターと考えられていたTA410ですが、ESETの報告によると、実際には3つの異なるチームから構成されています。これらのチームはツールセットや、3つの異なる地域に所在する異なるIPアドレスを使用している点が異なりますが、戦術、手法、手順は非常に類似しているため、活動を完全に区別することは困難です。
これらのチームは、FlowingFrog、LookingFrog、JollyFrog と呼ばれます。
ESETは、これら3つの組織は独立して活動しているものの、情報を共有している可能性があると考えています。また、スピアフィッシング攻撃を実行するアクセスチームと、ネットワークインフラを展開するチームも存在します。
TA410の被害者は誰ですか?
TA410の各サブグループごとにターゲットは異なります。FlowingFrogは大学、鉱業、外国の外交使節団をターゲットとし、LookingFrogは外交使節団、慈善団体、政府機関、製造業をターゲットとしています。JollyFrogは教育機関、教会、軍事機関、外交使節団をターゲットとしています(図A)。
図A
さらに、ESET は、中国国内の少なくとも 2 人の外国人が標的にされていることを確認しました。1 人はフランスの学者、もう 1 人は南アジア諸国の外交使節団のメンバーです。
興味深いことに、3 つのグループの間には明確な区分がありません。
TA410 の攻撃スキームは何ですか?
3 つのチームは同様の手法を採用しています。
まず、スピアフィッシングが使用されますが、Microsoft Exchange や SharePoint などのインターネットに直接接続されたアプリケーションを侵害することでも置き換えられます。
このようなアプリケーションへの侵入には、ユーザーの介入なしに組織のインフラ内に最初の足掛かりを築くという大きな利点があります。これは、ユーザーにリンクをクリックさせたり添付ファイルを開かせたりする必要があるスピアフィッシングとは正反対です。ESETの研究者によると、これはTA410で最もよく見られる手法です。
攻撃者は 2019 年に Microsoft SharePoint サーバーの脆弱性を悪用してコードを実行し、その後 ASPX Web シェルをドロップして、サーバーにさらに悪意のあるコンポーネントをインストールしました。
カスタム アプリケーションを実行している Microsoft IIS および SQL サーバーでも、さらなる悪用が確認されています。
2021年8月、ProxyShell脆弱性が発動された後、IISワーカープロセスがTA410s LookingFrogが使用するLookBackマルウェアをロードしました。これは、この脅威アクターが脆弱性を常に監視しており、新たな脆弱性が現れるとすぐにそれを悪用して、標的が運営するパッチ未適用のサーバーへのアクセスを獲得していることを示しています。
TA410で使用されるその他のツール
脅威の攻撃者は、脆弱性スキャナー、Equation グループの漏洩によるエクスプロイト、プロキシおよびトンネリング ツール (HTran、LCX、EarthWorm など)、WMIExec などの横方向の移動スクリプトなど、侵害を受けたネットワーク内での移動を支援する追加のツールを使用します。
悪名高いRoyal Roadという悪質なドキュメントビルダーも、脅威アクターによって使用されています。標的のユーザーがRoyal Roadに感染したドキュメントを開くと、「Tendyron Downloader」と呼ばれる実行ファイルが起動します。このダウンローダーは、Farfliマルウェアと、TA410のみが使用する非常に複雑なマルウェアであるFlowCloudをベースにしたバックドアを取得します。
Tendyron.exe は、DLL 検索順序ハイジャックの脆弱性の影響を受けやすい正当な実行可能ファイルであることに注意してください。
QuasarRATとPlugX(別名KorPlug)も使用されています。これらのマルウェアは長年知られていましたが、現在でも複数の脅威アクターによって使用されています。QuasarRATのコードはオンラインで公開されているため、簡単に利用でき、さまざまな目的に合わせて調整することができます。
TA410の専用武器
TA410 は、TA410 に特有のいくつかのマルウェア タイプを利用します。
FlowCloudマルウェア
FlowCloudは、C++で記述された3つのコンポーネントからなる複雑なマルウェアです。最初のコンポーネントはルートキット機能を備えたドライバーで、他のコンポーネントは単純な永続モジュールとカスタムバックドアです。
FlowCloudはまだ開発中のマルウェアであり、標的に応じて異なる設定が可能です。例えば、ウイルス対策ソフトウェアの実行中のプロセスをチェックすることを目的としたカスタムのAntivirusCheckクラスが発見されています。しかし、ESETが発見したサンプルではこのクラスは使用されていませんでした。
コードには、分析と検出を困難にするアンチデバッグのトリックや制御フローの難読化も多数含まれています。
FlowCloudはドライブへのフルアクセスを提供し、マッピングされたボリュームやディスク使用量に関する情報だけでなく、ファイルも収集します。また、実行中のシステムにインストールされているソフトウェアのリスト、プロセス名、サービス名も収集できます。
FlowCloudは、ファイルの監視、コンピューターのマイクを使った音声録音、クリップボードの変更の監視とデータの保存、スクリーンキャプチャの取得、マウスとキーボードの操作の記録も可能です。また、接続されたカメラ周辺機器(ある場合)を使って写真を撮る機能も備えています。
X4とLookBackマルウェア
X4 マルウェアは、LookBack と呼ばれる別のマルウェアを展開するために使用されるカスタム バックドアです。
X4 は、侵害されたホストに対する基本的な制御を提供します。暗号化されたシェルコードの使用、プロセスの強制終了、実行中のプロセスの一覧表示、またはコマンド ラインの実行などです。
LookBack は C++ で書かれたバックドアで、感染したホストと C2 サーバーの間でデータを中継するためにプロキシ通信を利用します。
LookBack は、サービスの一覧表示、プロセスの実行、ファイルへのアクセス、コマンド ラインの実行、スクリーン キャプチャの取得、または感染したコンピューターからの自身の削除などの機能を提供します。
TA410から身を守る方法
第一の防御策は、すべてのソフトウェアにパッチを適用し、最新の状態にしておくことです。特にインターネットに接続するアプリケーションは、攻撃者が標的のインフラへの最初の足掛かりを得るために頻繁に狙うため、特に重要です。TA410は、新たな脆弱性のリリースを監視し、迅速に対応していることを示しており、修正プログラムがリリースされたらできるだけ早くパッチを適用する必要があります。
- インターネットに接続されたすべてのサーバーについても、変更の有無を監視する必要があります。これらのサーバーに新しいファイルがドロップされた場合は、報告し、注意深く確認する必要があります。
- TA410 がシステムを侵害してアクセスするために使用する別の方法はスピアフィッシングであるため、電子メールも慎重に扱う必要があります。
- 攻撃者が単一のユーザー名とパスワードでシステムにアクセスするのを防ぐために、多要素認証も導入する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
