概要
Check Point Research (CPR)は、中国に連携するAPTグループであるSilver Dragonが、2024年中頃から欧州と東南アジアの公共部門や高プロファイル組織を標的としていることを明らかにしました。このグループは、APT41の戦術と重複しており、Google Driveをコマンド&コントロール(C2)チャネルとして悪用しています。
標的と戦術
Silver Dragonは、主に東南アジアと一部のヨーロッパの政府機関や公共部門を標的としています。このグループは、サイバー諜報活動を目的としています。
初期アクセスと展開
このグループは、公開サーバーの脆弱性を悪用するか、メールベースのフィッシング攻撃を通じて初期アクセスを獲得します。フィッシング攻撃では、悪意のあるLNKファイルを含む大きな添付ファイルが使用されます。
主要な感染チェーン
CPRは、Silver Dragonの3つの主要な感染チェーンを特定しました。
- AppDomain ヒッジング:.NET構成ファイルを悪用して、悪意のあるローダー(MonikerLoader)を実行します。
- Service DLL チェーン:Windows UpdateやBluetoothサービスなどの正当なサービス名を偽装して、悪意のあるDLLをシステムパスにコピーします。
- フィッシング駆動型 LNK チェーン:悪意のあるLNKファイルから複数のペイロードを抽出し、合法的な実行ファイル(GameHook.exe)を使用してDLLサイドローディングを行います。
主要なツール
Silver Dragonは、GearDoor、SilverScreen、SSHcmdなどの主要なツールを使用しています。
- GearDoor:Google DriveをC2チャネルとして使用し、脳死言語スタイルの文字列の暗号化とDES暗号化を採用しています。
- SilverScreen:マルチモニターのスクリーンショットをキャプチャし、アクティブなユーザーセッションを模倣して低プロファイルの監視を行います。
- SSHcmd:Renci.SshNetライブラリを使用して、コマンドの実行、TTYのインタラクティブな使用、ファイルのアップロード/ダウンロードをサポートします。
インフラストラクチャと指標
この記事では、C2ドメインとGearDoor、SilverScreen、SSHcmd、MonikerLoader、BamboLoaderのハッシュ値がリストアップされています。
結論
Silver Dragonは、高度なサイバー諜報活動を展開するための多機能なポストエクスプロイトツールキットを備えています。これらのツールは、オンプレミスとクラウド統合ネットワークでの長期的な監視と情報収集を可能にします。