中国のAPTグループ「Ink Dragon」、欧州政府ネットワークに侵入し活動範囲を拡大
Check Point Researchの継続的な調査により、中国を拠点とするサイバースパイグループ「Ink Dragon」が、東南アジアや南米の活動範囲からさらに欧州の政府ネットワークへとその影響力を大幅に拡大していることが明らかになりました。この脅威アクターは、戦略的なサーバーの侵害と洗練されたリレーインフラを巧みに組み合わせ、持続的なアクセスを維持し、グローバルなスパイ活動を支援しています。Ink Dragonの活動拡大は、長期間にわたる潜伏期間と最小限の検出シグネチャを特徴とする、規律あるキャンペーンモデルを反映しています。
巧妙な攻撃手法と戦略
Ink Dragonは、侵害したサーバーをリレーノードとして利用することで、被害組織を、複数の大陸にわたる広範なスパイ活動を支える意図せぬインフラへと変貌させます。この手法により、C2(コマンド&コントロール)トラフィックを効果的に隠蔽し、分散された通信経路を通じて運用の回復力を維持しています。
攻撃は通常、公開されているWebインフラの偵察から始まります。特に、Microsoft IIS WebサーバーやSharePointの一般的な設定上の弱点が標的とされます。これらの侵入ポイントは、最小限の可視性で初期のコード実行を可能にし、攻撃者は標的ネットワークに最初の足場を築きます。
確立後、グループは環境内に存在する正規の管理資格情報やサービスアカウントを利用して、ラテラルムーブメント(横方向の移動)に焦点を当てます。この手法により、Ink Dragonは通常の企業活動にシームレスに溶け込み、検出される可能性を大幅に低減します。攻撃者は体系的にローカル資格情報を収集し、アクティブな管理者セッションを特定し、共有サービスアカウントを悪用してネットワークセグメントを横断します。
最終的に、ドメインレベルのアクセス権を獲得し、包括的な環境マッピング、ポリシー操作、高価値システム全体への永続的なバックドアの展開を可能にします。この段階的なアプローチは、迅速なエスカレーションよりも、ステルス性と持続可能性を優先しています。
リレーノードとしての悪用
Ink Dragonの活動の明確な特徴は、侵害された環境を体系的に再利用することです。グループは、カスタマイズされたIISベースのモジュールを展開し、公開サーバーをリレーノードに変換します。これにより、コマンドトラフィックやサポートデータを地理的に分散した被害者間でルーティングします。このアーキテクチャアプローチは、攻撃トラフィックの真の出所を曖昧にする通信メッシュを作成し、セキュリティ監視システムには通常の組織横断的な活動として提示されます。
このリレーインフラは、冗長な通信経路による運用の回復力、標準的なHTTPトラフィック内での自然なカモフラージュ、各侵害システムからの長期的な有用性など、複数の戦略的利点を提供します。
高度化するツールセット
Ink Dragonのツールセットは進化を続けており、特にクラウド対応機能に重点が置かれています。更新された「FinalDraft」バックドアの亜種は、この進化を象徴しており、Microsoftクラウドのアクティビティパターンに溶け込むように特別に最適化されています。このマルウェアは、疑わしい外部接続を確立する代わりに、Microsoftのメールボックスのドラフト機能を利用してコマンドトラフィックを送信し、通信を通常のMicrosoftサービス利用として効果的に偽装します。これらの改良は、運用上のステルス性と長期的なキャンペーンの持続可能性を優先する脅威アクターの姿勢を示しています。
並行する脅威活動
調査により、同一の侵害された政府ネットワーク内で、無関係な脅威アクター「RudePanda」による並行活動も明らかになりました。RudePandaの最新の攻撃は、ビジネスアワーにチェックインを合わせる制御されたタイミングメカニズム、効率的なバックグラウンドデータ転送プロトコル、包括的なシステムプロファイリング機能を導入しています。両グループは独立して、同一の公開脆弱性を悪用しており、単一の未パッチの脆弱性が複数の高度な持続的脅威グループ(APTグループ)をどのように引き寄せるかを示しています。RudePandaは、その標準的な運用アプローチと一貫して、軽量なWebツールとIISの変更を展開しました。
セキュリティ専門家への提言
サイバーセキュリティ専門家にとって、Ink Dragonの活動は重要な原則を強調しています。それは、侵害されたシステムは、より広範な脅威アクターの活動のための潜在的な通信インフラとして調査する必要があるということです。アクターを完全に排除するには、個別の侵害に対処するだけでなく、リレーチェーン全体を特定して破壊する必要があります。組織は、侵害されたシステムが外部の活動を支援するリレーノードとして再利用されていないかを特定するために、包括的なインシデント後分析を優先すべきです。