概要
中国と関連のある脅威アクターが、南東アジアの軍事ネットワークを標的とした長期的なサイバー諜報キャンペーンを展開していることが明らかになりました。このキャンペーンは、情報収集や作戦監視に焦点を当てており、独自のマルウェアやステルス技術を使用しています。
キャンペーンの特徴
この活動は、CL-STA-1087と呼ばれるもので、パワーシェルの不審な活動がエンドポイントセキュリティツールによって検出されたことから発見されました。Palo Alto Networks Unit 42によると、このキャンペーンは少なくとも2020年から活動しており、南東アジアの軍事組織を主な標的としています。
攻撃手法
- 独自のマルウェア: キャンペーンは、AppleChrisとMemFunという名前のバックドアを使用しています。AppleChrisは複数のバリアントで展開され、PastebinやDropboxなどのサービスから動的にC2インフラを取得するDead Drop Resolver (DDR)技術を利用します。
- ステルス手法: MemFunは完全にメモリ内で動作し、合法的なプロセスとして偽装されたローダーと、最終ペイロードをダウンロードするインメモリダウンローダーを使用します。このマルウェアはタイムスタンプの操作やDLLホローングなどの高度な回避技術を利用しています。
- アクセスの昇格: 攻撃者はGetpassというツール(Mimikatzの修正版)を展開し、lsass.exeプロセスから資格情報を抽出します。このツールは盗まれたデータをWinSAT.dbというファイルに保存し、合法的なWindowsデータベースであるように偽装しています。
属性と分析
攻撃者は長期間のアクセスを維持するため、サービス作成やDLLハッキングなどの手法を使用しました。また、UTC+8時間帯での活動パターンや中国ベースのインフラストラクチャの使用などから、中国関連の起源が示唆されています。
評価
このキャンペーンは成熟した諜報作業であり、ステルス性と持続性を重視しています。独自ツールや暗号化通信チャネル、メモリ内実行の使用は、高度な脅威活動における一般的な傾向を反映しており、敏感な軍事ネットワークへの長期的なアクセスを維持するための検出回避戦略となっています。