サイバーセキュリティ企業Cisco Talosは、中国に関連するとみられる高度な持続的脅威(APT)グループ「UAT-9244」が、2024年から南米の通信インフラを標的とした大規模なサイバー攻撃を展開していると報告しました。この攻撃では、Windows、Linuxシステム、さらにはネットワークエッジデバイスに対し、これまで知られていなかった3種類のマルウェア「TernDoor」「PeerTime」「BruteEntry」が悪用されていることが明らかになっています。
中国関連APTグループ「UAT-9244」の活動
Cisco Talosは、この攻撃グループを「UAT-9244」と呼称し、以前から活動が確認されている「FamousSparrow」という別のグループと密接に関連していると分析しています。また、「FamousSparrow」は、通信サービスプロバイダーを標的とすることで知られる中国関連のスパイグループ「Salt Typhoon」と戦術的な重複が見られるものの、両グループを直接結びつける決定的な証拠は現時点ではないとされています。
攻撃の初期侵入経路は不明ですが、過去には古いバージョンのWindows ServerやMicrosoft Exchange Serverを悪用し、ウェブシェルを設置してその後の活動に利用していたと報じられています。
悪用された3種類の新マルウェア
今回のキャンペーンで確認されたマルウェアは、それぞれ異なるOSやデバイスを標的としています。
1. TernDoor(Windows向けバックドア)
- 「TernDoor」はWindowsシステムを標的としたバックドアで、DLLサイドローディングという手法を用いて展開されます。正規の実行ファイル「wsprint.exe」が悪用され、不正なDLL(「BugSplatRc64.dll」)を起動させることで、最終的なペイロードがメモリ上で復号・実行されます。
- このマルウェアは、以前確認された「CrowDoor」(「SparrowDoor」の亜種)の変種とされており、2024年11月にはUAT-9244によって使用されていたとみられています。
- 永続化のためにスケジュールされたタスクやレジストリのRunキーを利用し、プロセスの一時停止、再開、終了を可能にするWindowsドライバーを組み込んでいる点が「CrowDoor」との違いとして挙げられます。また、アンインストール用のコマンドラインスイッチ「-u」のみをサポートし、関連するアーティファクトを削除する機能も持ちます。
- 起動後、「msiexec.exe」にインジェクションされているかを確認し、設定をデコードしてC2(コマンド&コントロール)サーバーのパラメータを抽出します。C2サーバーとの通信が確立されると、プロセスの作成、任意のコマンド実行、ファイルの読み書き、システム情報の収集、悪意のあるコンポーネントの隠蔽やプロセス管理のためのドライバー展開が可能になります。
2. PeerTime(Linux向けP2Pバックドア)
- 「PeerTime」(別名「angrypeer」)はLinuxシステムを標的としたP2Pバックドアで、ARM、AARCH、PPC、MIPSなど、さまざまな組み込みシステムに感染できるよう複数のアーキテクチャ向けにコンパイルされています。
- シェルスクリプトを介して、インストゥルメンターバイナリと共に展開されます。インストゥルメンターは、Dockerの存在をチェックし、Dockerが検出された場合に「PeerTime」ローダーを実行します。このインストゥルメンターには簡体字中国語のデバッグ文字列が含まれており、中国語を話す脅威アクターによって作成・展開されたカスタムバイナリであることが示唆されています。
- ローダーの主な目的は、最終的な「PeerTime」ペイロードを復号・解凍し、メモリ上で直接実行することです。
- 「PeerTime」にはC/C++で書かれたバージョンと、より新しいRustで書かれたバージョンの2種類が存在します。検出を回避するために無害なプロセス名に自身を改名する能力に加え、BitTorrentプロトコルを利用してC2情報を取得し、ピアからファイルをダウンロードして侵害されたシステム上で実行します。
3. BruteEntry(ネットワークエッジデバイス向けブルートフォーススキャナー)
- 「BruteEntry」は、脅威アクターのサーバーにステージングされていたシェルスクリプトとペイロードの一部として発見されました。これはネットワークエッジデバイスにインストールされ、それらのデバイスをPostgres、SSH、Tomcatサーバーへのブルートフォース攻撃を実行可能な「Operational Relay Box (ORB)」内のマススキャンプロキシノードに変えることを目的としています。
- このマルウェアは、2つのGolangベースのコンポーネント(オーケストレーターと「BruteEntry」本体)から構成されています。オーケストレーターが「BruteEntry」を配信し、「BruteEntry」はC2サーバーと通信してブルートフォース攻撃の標的となるIPアドレスリストを取得します。
- 最終的に、このバックドアは成功したログイン情報をC2サーバーに報告します。「成功」はブルートフォースが成功したかどうかを示し、「notes」は具体的な情報を提供します。ログインが失敗した場合、「All credentials tried」というメモが記録されます。
通信インフラへの継続的な脅威
今回のCisco Talosの報告は、中国関連のAPTグループが、南米の通信インフラという重要度の高い標的に対し、Windows、Linux、エッジデバイスといった多様な環境に対応する高度なマルウェアを開発・展開している現状を浮き彫りにしています。通信事業者は、これらの新たな脅威に対し、システムの脆弱性管理、ネットワーク監視、そして多層的なセキュリティ対策を強化することが喫緊の課題となります。