アジア各国政府を標的としたスパイ活動の新潮流

以前、リモートアクセス型トロイの木馬（RAT）のShadowPadに関連して注目されたスパイ活動攻撃者のグループが、新たに多様なツールセットを利用して、アジア各国の政府機関や国有企業に対して、継続的な攻撃キャンペーンを展開しています。この攻撃は、少なくとも2021年初頭から続いており、情報収集を主な目的としていると思われます。

標的

現在のキャンペーンは、ほぼ、以下のような政府または公的機関のみを対象としているようです。

• 政府トップ/首相官邸
• 金融関連の政府機関
• 政府系の宇宙および防衛関連企業
• 政府系の通信関連企業
• 政府系のIT関連企業
• 政府系のメディア関連企業

ツール

これらの攻撃の注目すべき特徴として、攻撃者は、マルウェアのペイロードをロードするためにDLLサイドローディングと呼ばれる手法を使用しており、さまざまな正規のソフトウェアパッケージが悪用されています。通常、攻撃者は単一の攻撃で複数のソフトウェアパッケージを使用します。多くの場合、セキュリティソフトウェア、グラフィックソフトウェア、Webブラウザなど、古いバージョンや旧バージョンのソフトウェアが使用されています。また、レガシーOSであるWindows XPの正規のシステムファイルが使用されるケースもあります。旧バージョンを使用する理由は、使用されるソフトウェアの最新バージョンには、サイドローディングに対する緩和策が組み込まれていることがほとんどだからです。

DLLサイドローディングはよく知られた手法で、攻撃者は正規のDLLが存在すると予想されるディレクトリに不正なDLLを配置します。そして、攻撃者は、正規のアプリケーションを自ら実行します（多くの場合攻撃者自身がインストール）。その後、正規のアプリケーションにより、ペイロードがロードされ、実行されます。

攻撃者によって不正なDLLがロードされると、不正なコードが実行され、.datファイルがロードされます。このファイルには、悪意のあるシェルコードが含まれており、メモリ上のさまざまなペイロードや関連するコマンドを実行するために使用されます。一部のケースでは、この悪意のあるシェルコードは暗号化されています。

また、攻撃者は正規のソフトウェアパッケージを悪用して別のツールを展開し、横方向の移動をサポートします。これらのツールには、資格情報のダンプツール、多数のネットワークスキャンツール（NBTScan、TCPing、FastReverseProxy、およびFScan）、および侵入テストのLadonフレームワークが含まれています。

攻撃は通常、以下のように展開されます。

• 攻撃者はバックドアアクセスを取得すると、MimikatzおよびProcDumpを利用して資格情報を盗みます。一部のケースでは、レジストリから資格情報をダンプします。
• 次に、ネットワークスキャンツールを利用して、RDPを実行しているコンピュータなど、横方向の移動が容易な他の対象のコンピュータを特定します。
• PsExecを利用して古いバージョンの正規のソフトウェアを実行し、それを使ってネットワーク上の他のコンピュータにDLLサイドローディングによって既製のRATS（遠隔操作ウイルス）などの追加のマルウェアツールをロードします。
• また、攻撃者は、Ntdsutilなどの多くの環境寄生型攻撃（LOTL：Living Off The Land）ツールを利用して、Active Directoryサーバーのスナップショットをマウントし、Active Directoryサーバーのデータベースやログファイルへのアクセスを実行します。また、Dnscmdコマンドラインツールを利用して、ネットワークゾーン情報を列挙します。 

ケーススタディ: 攻撃の展開

2022年4月、攻撃者はアジア諸国の教育分野の政府系組織を標的とし、7月までネットワーク上に留まり続けることに成功しました。侵害の期間中、攻撃者はデータベースやEメールをホストするコンピュータにアクセスし、最終的にドメインコントローラーにたどり着きました。

不正な活動の最初の兆候が発生したのは4月23日で、imjpuex.exe（SHA256: fb5bc4baece5c3ab3dabf84f8597bed3c3f2997336c85c84fdf4beba2dcb700f）を利用して不正なコマンドが実行されました。このimjputyc.exeファイルは正規のWindows XPファイルで、攻撃者が不正なDLLファイル（imjputyc.dll）をサイドロードするために使用し、その結果、.datファイル（ペイロード - imjputyc.dat）がロードされました。この活動の後、同様に不正なペイロードによって作成されたsvchost.exeを介して、imjputyc.exeを利用してネットワークサービスが開始されました。

• CSIDL_SYSTEMX86\svchost.exe NetworkService 7932

また、ほぼ同時期に、攻撃者はImjpuex.exeを利用して、11年前のバージョンのBitdefender Crash Handler（ファイル名: javac.exe、SHA256: 386eb7aa33c76ce671d6685f79512597f1fab28ea46c8ec7d89e58340081e2bd）をインストールし、実行させました。この攻撃では、Crash Handlerがサイドローディングに使用されましたが、これは、この攻撃グループが過去数か月に使用した多くの旧バージョンのアプリケーションの1つにすぎません。

同じCrash Handlerの実行ファイルがCSIDL_SYSTEM_DRIVE\xampp\tmp\vmware.exeにコピーされ、実行されました。

その後、攻撃者は、LSASS（Local Security Authority Server Service）から資格情報をダンプするためにProcDumpをインストールし、実行しました。

•  p.exe -accepteula -ma lsass.exe lsass2.dmp

この攻撃者は、その後、Crash Handlerを再ロードする間に、複数のコマンドプロンプトを起動しました。これは、別のツールをインストールするために行われたと思われます。

そのすぐ後、calc.exe（SHA256：912018ab3c6b16b39ee84f17745ff0c80a33cee241013ec35d0281e40c0658d9）というファイルがマシン上に現れ、攻撃者によって実行されました。これは、Mimikatzの名前を変更したもので、攻撃者はこれを使用して資格情報をダンプしました。

• calc.exe ""privilege::debug"" ""sekurlsa::logonpasswords full" " exit "

4月26日、攻撃者がCrash Handlerの実行ファイルを実行し、cal.exe（SHA256: 12534f7014b3338d8f9f86ff1bbeacf8c80ad03f1d0d19077ff0e406c58b5133）というファイルを感染したマシンにインストールするとさらに悪質な活動が発生しました。

このファイルは、Go言語で記述された一般公開されている侵入テストフレームワークであるLadonGo v3.8でした。攻撃者は、LadonGoを使用して、RDPサービスを実行しているマシンを内部ネットワークでスキャンし、数日前に盗んだ資格情報を使用して、これらのマシンへの侵入またはログインを試みたと思われます。また、対象のマシンに対して、ブルートフォース（総当り）攻撃によるログインを試みた形跡もありました。

5月6日、攻撃者は攻撃を再開し、Crash Handler実行ファイル（今回の名前はsvchost.exe）を実行し、test.exe（SHA256: 912018ab3c6b16b39ee84f17745ff0c80a33cee241013ec35d0281e40c0658d9）という新しいMimikatz亜種のインストールをしました。これは、より多くの資格情報を取得するために行われたものと思われます。その後、攻撃者は、権限を昇格させるために、同組織内の別の2台のコンピュータに対してLadonGoを実行し、Netlogonの脆弱性（CVE-2020-1472）のエクスプロイトを試みました。

5月16日、攻撃者は活動レベルを上げ、最初に侵入したコンピュータ（コンピュータ#1）から組織内のネットワークを横断して横方向に移動しはじめました。

2台目のコンピュータ（コンピュータ#2）で、攻撃者はコマンドプロンプトを起動し、Mimikatzの亜種（ファイル名: test.exe, SHA256:  912018ab3c6b16b39ee84f17745ff0c80a33cee241013ec35d0281e40c0658d9）を実行しました。その後、攻撃者は、同コンピュータ上に複数のKB（Knowledge Base）ファイル（kb0394623.exeなど）を展開します。これらのファイルは、Windowsのコマンドプロンプトの正規のコピーです（Richヘッダの16バイトの部分が改変）。

3台目のコンピュータ（コンピュータ#3）で、攻撃者はPsExecを使用して、コンピュータ#1で利用したものと同じ古いバージョンのCrash Handler（今回の名前はjavac.exe）を実行しました。この実行ファイルのコピーは、csidl_program_files\windows mailwinmailservice.exeに作成され、実行されました。

その後、攻撃者は、侵入したコンピュータのDNS設定の情報を列挙するために、dnscmd.exe（SHA256: 67877821bf1574060f4e45ab8be62e28f54fb40a23ce70b86a6369a4d63db5bc）を実行しました。

• Dnscmd . /EnumZones

Dnscmdは、Microsoftコマンドラインツールの1つで、DNSサーバーの管理に使用されます。このツールを使用してバッチファイルのスクリプトを作成すると、日々のDNS管理タスクを自動化したり、新しいDNSサーバーの定常的なセットアップを実行することができます。enumzonesコマンドを使用すると、指定したDNSサーバー上に存在するゾーンを一覧表示することができます。フィルタが指定されていない場合、ゾーンの完全なリストが返されます。

その後、Crash Handlerは、csidl_common_appdata_veritasディレクトリにimjpuex.exeをインストールするために使用され、同名のDLLファイルのサイドロードと.datファイルのロードに使用されて未知のカスタムペイロードが実行されることになりました。

この直後、攻撃者は、コマンドラインでドメインを指定して、複数の特定のゾーンのレコードの一覧化を試みました。

• Dnscmd . /ZonePrint [REDACTED_DOMAIN]

4台目のコンピュータ（コンピュータ#4）で、攻撃者はPsExecを使用してCrash Handler（今回の名前はtest.exe）を実行しました。そして、%TEMP%ディレクトリに2つのKBファイルをインストールし、実行しました。

• SHA256: 5c4456f061ff764509a2b249f579a5a14d475c6714f714c5a45fdd67921b9fda
• SHA256: ded734f79058c36a6050d801e1fb52cd5ca203f3fd6af6ddea52244132bd1b51

繰り返しますが、これらのファイルは、いずれもWindowsコマンドプロンプトを改変したものでした。

5月17日、攻撃者は、さらに複数の改変されたWindowsコマンドプロンプトのアプリケーションをコンピュータ#4上に展開しました。また、コンピュータ#5に対してサイドロードの手口を展開し、おそらく何らかのプロセスインジェクションが可能になるように、正規のsvchost.exeを実行しました。

5月19日、攻撃者はコンピュータ#5に戻り、svchostを使用してNetworkServiceを起動しました。その後、以前この攻撃で使用されたcalc.exeという名前のMimikatzの亜種を使用しました（SHA256: 912018ab3c6b16b39ee84f17745ff0c80a33cee241013ec35d0281e40c0658d9）。Mimikatzは、侵入したコンピュータから資格情報をダンプするために使用されました。

5月24日、攻撃者は、コンピュータ#3に目を向け、PsExecを使用してwhoamiコマンドを実行して、現在ログイン中のユーザーを特定しました。そして、PsExecを介して、不明なバッチファイル「t.bat」を実行しました。

このスクリプトから、新しいユーザーアカウントを作成するために、以下のコマンドが実行された可能性があります。

• net user [REDACTED]
• CSIDL_SYSTEM\net1 user [REDACTED] Asd123.aaaa /add
• net localgroup [REDACTED] [REDACTED]/add
• CSIDL_SYSTEM\net1 localgroup [REDACTED]  /add
• CSIDL_SYSTEM\net1 user [REDACTED] Asd123.aaaa /add

このスクリプトは「net.exe」を使用して、特定のユーザーアカウントがすでに存在するかどうかをチェックします。次に、パスワード「Asd123.aaaa」のユーザーアカウントを作成し、マシンのローカルグループへの追加を試みます。数分後、タスクマネージャが起動し、コマンドプロンプトが表示されました。その後、攻撃者は以下のコマンドを実行し、Active Directoryサーバーのスナップショットをマウントしました。

• ntdsutil snapshot "mount c2b3e2c6-1ffb-4625-ba8e-3503c27a9fcb" quit quit

これらのスナップショットには、Active Directoryデータベース（ユーザーの資格情報など）やログファイルなどの機密情報が含まれます。文字列「c2b3e2c6-1ffb-4625-ba8e-3503c27a9fcb」は、スナップショットのインデックス番号です。

その後、攻撃者はコンピュータ#5に移動し、ProcDump（ファイル名：p.exe、SHA256: 2f1520301536958bcf5c65516ca85a343133b443db9835a58049cd1694460424）を使用してLSASSから資格情報をダンプしています。

• p.exe -accepteula -ma lsass.exe lsass2.dmp 

5月26日、攻撃者はコンピュータ#1に戻り、go64.exeという名前のファイルを実行しました。このファイルはFscanのコピーでした。攻撃者は、以下のコマンドを実行して、侵入したネットワーク内でRDPサービスを利用するマシンについて一括スキャンを行いました（具体的には、IPアドレス10.72.0.0～10.72.0.255のマシンに対するクラスCスキャン）。

• go64.exe -h 10.72.0.101/24 -pa 3389

また、攻撃者はFscanを利用して、ネットワーク上の他のマシンに対してエクスプロイトを試みており、Exchange Serverに対するProxyLogon脆弱性の1つ（CVE-2021-26855）を利用したことも確認されています。また、このタイミングで、SMBの不審な活動が発生しており、攻撃者は、オープンなSMBサービスに対して、別のエクスプロイト（おそらくEternalBlue）を利用した可能性が示唆されています。 

6月6日、攻撃者は、コンピュータ#3上でPsExecを実行し、%USERPROFILE%\public\ディレクトリから、以前使用していた旧バージョンのCrash Handler（ファイル名: winnet.exe）を起動させました。

攻撃者は、Dnscmdユーティリティを再度実行し、利用可能なすべてのゾーンを列挙した後、winnet.exeを再度実行し、APPDATA%thet.exeにあるCrash Handlerのコピーを実行して別の不正ペイロード（おそらくProcExplorerのインストールに使用）をロードしていました。

• Dnscmd ./EnumZones 
• "CSIDL_COMMON_APPDATA\t.exe" 

数時間後、ProcExplorer (64-bit)が起動しました。

• "CSIDL_PROFILE\desktop\processexplorer\procexp64.exe" 

既知の最後の不正な活動は、7月8日にコンピュータ#3で発生しました。ユーザーの資格情報をダンプするため、レジストリからシステムのハイブファイルがダンプされました。 

• reg save HKLM\SYSTEM system.hiv 

ペイロード

この攻撃者グループは、以前はShadowPadを利用していましたが、その後移行し、さまざまなペイロードを展開しています。

使用されたペイロードの1つは、これまでにない豊富な機能を持つ情報窃取ツール（Infostealer.Logdatter）で、これはカスタムメイドのようでした。その機能は以下のとおりです。

• キーログの取得
• スクリーンショットの取得
• SQLデータベースへの接続およびクエリ
• コードインジェクション：ファイルを読み込んで、その中に含まれるコードをプロセス内に注入する
• ファイルのダウンロード
• クリップボードデータの窃取

攻撃者が使用したその他のペイロードは以下のとおりです。

• PlugX/Korplug Trojan
• Trochilus RAT
• QuasarRAT
• 侵入テスト用フレームワーク「Ladon」
• Nirsoft Remote Desktop PassView：Microsoft Remote Desktop Connectionユーティリティが.rdpファイル内に保存したパスワードを明らかにする一般公開ツール
• SNMP（Simple Network Management Protocol）スキャンツール
• Fscan：一般に入手可能なイントラネットスキャンツール
• Nbtscan：オープンなNETBIOSネームサーバーをスキャンするためのコマンドラインツール
• FileZilla：正規のFTPクライアント
• FastReverseProxy：リバースプロキシツール
• WebPass：一般に入手可能なパスワード収集ツール
• TCPing：TCP上でPingを実行できる一般に入手可能なツール
• 各種プロセスダンプツール
• 各種キーロガー
• 多数のPowerSploitスクリプト

初期の活動との関連性

ShadowPadはKorplug/PlugX Trojanの後継として設計されたモジュール型のRAT（リモートアクセス型トロイの木馬）で、一時期、アンダーグラウンドフォーラムで販売されていたことがあります。しかし、一般に入手可能なツールという出自にもかかわらず、その後、スパイ行為者と密接な関係を持つようになりました。このツールは、ごく短期間だけ公に販売され、ほんの一握りの購入者にしか販売されなかったと考えられています。

Korplug/PlugXマルウェアを含む過去の攻撃や、Blackfly/Grayfly（APT41）やMustang Pandaなど、多くの既知のグループによる攻撃との関連を示唆する限定的な証拠が存在します。たとえば、攻撃者は、HP社がデジタル画像処理アプリケーション用に開発したHPCustParticUI.exeという正規のファイルを利用していました。これは以前、Korplug/Plug Xが関与する攻撃で発生したものです。また、攻撃者は、おそらくローダーとしてhpcustpartui.dllファイルを利用していました。このローダーは、Korplug/Plug Xが関与するローマカトリック教会を標的とした長期にわたるキャンペーンで使用されたものと同じです。

今回のキャンペーンでは、正規のBitdefenderファイルを使用して、シェルコードをサイドロードしています。これと同じファイルや手口は、APT41に関連する過去の攻撃でも観測されています。また、東南アジアにおける重要インフラストラクチャに対する過去の攻撃でも、同じキーロガーツールが展開されていることが確認されています。

正規のアプリケーションを使用してDLLサイドローディングを実行する手口は、この地域で活動するスパイ行為者の間で増加傾向にあるようです。よく知られた手法ではありますが、その人気の高さから、攻撃者にとってはある程度の成功を収めたと言えるでしょう。企業や組織は、ネットワーク上で実行されているソフトウェアを徹底的に監査し、古くて時代遅れのソフトウェアや、組織で公式に使用されていないパッケージなどの異常値の存在を監視することが推奨されます。

保護/緩和

Symantec Protection Bulletinで保護に関する最新情報をご確認ください。

侵害の痕跡

IOCが悪意のあるもので、シマンテックが入手できるファイルであれば、Symantec Endpoint製品はそのファイルを検知し、ブロックします。

サイドローディングに使用される正当なアプリケーション

386eb7aa33c76ce671d6685f79512597f1fab28ea46c8ec7d89e58340081e2bd – Bitdefender Crash Handler (2011)

ローダー

1a95c0b8046aafa8f943bd6b68f3de550177f8df8c382f12468c4dcb416b12bc – log.dll

138c82c81ed7b84378a821074c88157c489d29d5ef66080baea88f5de0e865e6 – log.dll

704e6eb9bded6d22feab88fa81e6b0b901bee7a451a290c20527c48c235ebf52 – breakpad.dll

7a25b21df9fa93a694f15d18cd81c9f9be6fc078912924c91c645f75a5966881 – breakpad.dll

1d6aabf2114f9e6367b515d4ebfc6e104511ff4b05bd51a56fa52070c1d40e25 – breakpad.dll

5bedd1b05879b900b60a07abc57fab3075266ee7fa72385ced582699a51f1ec7 – breakpad.dll

49c23a187810edd3c16689ee1766445ec49a7221507dbe51e7b5af8ec46a91ee – breakpad.dll

e51fc50defd89da446ddc0391e53ace60b016e497c5cb524fd81efdeadda056d – breakpad.dll

ペイロード

2237e15b094983a79f60bc1f7e962b7fb63aae75cbf5043ee636be4c8fdb9bee – Korplug

b7f6cf8a6a697b254635eb0b567e2a897c7f0cefb0c0d4576326dc3f0eb09922 – Korplug

1c7e2d6ae46ff6c294885cb7936c905f328b303d6f790b66d7c4489f284c480a – QuasarRAT

c3ae09887659cde70d636157c5a0efd36359efdfb2fe6a8e2cdd4e5b37528f51 – TrochilusRAT

追加ツール

fa7eee6e322bfad1bb0487aa1275077d334f5681f0b4ede0ee784c0ec1567e01 – NBTScan

d274190a347df510edf6b9a16987cea743d8df0e4c16af10787a31f0fec66da2 – NBTScan

20c767d32304ed2812ed8186dc14ddaaae581481c6dee26447a904fcaa67db2a – NBTScan

cf5537af7dd1d0dbb77e327474aa58b2853cb1a1d4190991ac3d9ca40b7841aa – NBTScan

df9a2471c23790a381e286bb96ea3401b94686b7ca067297a7920a76a7202112 – Loader

05fb86d34d4fa761926888e5347d96e984bbb1f3b693fe6c3ab77edb346f005b – FScan

aba3e885768a6436b3c8bc208b328620f001c63db7a3efe6142e653cdf5dfbf7 – FScan

0f81c3850bc82a7d1927cf16bfad86c09414f8be319ef84b44a726103b7d029d – Powerview

9f04c46e0cdaa5bce32d98065e1e510a5f174e51b399d6408f2446444cccd5ff – TCPing

12534f7014b3338d8f9f86ff1bbeacf8c80ad03f1d0d19077ff0e406c58b5133 – Ladon

23d0eff3c37390d38e6386a964c88ac2dafbace92090a762ae9e23bd49510f09 – WebPass

3e53deb5d2572c0f9fae10b870c8d4f5fdc7bd0fe1cc3b15ca91b31924373136 – WebPass

2f1520301536958bcf5c65516ca85a343133b443db9835a58049cd1694460424 – ProcDump

912018ab3c6b16b39ee84f17745ff0c80a33cee241013ec35d0281e40c0658d9 – Mimikatz

38d4456b38a2896f23cad615e3c9167e65434778074a9b24af3cbc14d1e323bf – cmd.exe (tampered copy of legitimate cmd.exe)

77358157efbf4572c2d7f17a1a264990843307f802d20bad4fb2442245d65f0b – ProcessExplorer

ネットワーク

88.218.193.76 (used to host malware)

8.214.122.199

103.56.114.69

27.124.17.222

27.124.3.96