はじめに
サイバーセキュリティ企業ReliaQuestの報告によると、中国の国家支援型ハッカーが、地理情報システム(GIS)ツールであるEsri社のArcGISを悪用し、標的環境内で1年以上にわたり検出されずに活動していたことが明らかになりました。この攻撃グループは、ArcGISのコンポーネントをウェブシェルに変えるという巧妙な手口を用いていました。ReliaQuestは、この脅威アクターが中国のAPTグループであると確信しており、Flax Typhoonである可能性が高いと見ています。
ArcGISの悪用手口
ハッカーは、有効な管理者認証情報を用いて、公開されているArcGISサーバーにログインしました。このサーバーは、組織のプライベートな内部ArcGISサーバーにリンクされていました。攻撃者はこのアクセスを利用し、悪意のあるJavaサーバーオブジェクト拡張(SOE)をアップロードしました。このSOEはウェブシェルとして機能し、REST APIパラメーター(layer)を通じてbase64エンコードされたコマンドを受け取り、内部ArcGISサーバー上で実行していました。これにより、コマンドは通常の操作として偽装され、検出を困難にしていました。さらに、この通信はハードコードされた秘密鍵によって保護されており、攻撃者のみがバックドアにアクセスできる状態でした。
永続化と内部ネットワークへの侵入
ArcGISポータルを超えて永続性を確立し、能力を拡張するため、Flax Typhoonは悪意のあるSOEを利用してSoftEther VPN Bridgeをダウンロード・インストールしました。これをWindowsサービスとして登録し、システム起動時に自動的に開始するように設定しました。起動後、VPNは攻撃者のサーバー(172.86.113[.]142)へのアウトバウンドHTTPSトンネルを確立し、被害者の内部ネットワークと攻撃者のマシンを接続しました。このVPNはポート443で通常のHTTPSトラフィックを使用することで、正規のトラフィックに紛れ込み、SOEが検出・削除されたとしてもVPNサービスは活動を継続する設計でした。
VPN接続を悪用し、攻撃者はローカルネットワークのスキャン、ラテラルムーブメント、内部ホストへのアクセス、資格情報のダンプ、データ窃取などを実行しました。ReliaQuestは、標的組織のITスタッフに属する2つのワークステーションに対する不審な行動を観測しており、ハッカーがSecurity Account Manager(SAM)データベース、セキュリティレジストリキー、LSAシークレットのダンプを試みていたことを報告しています。これは、特権を昇格させ、Active Directory環境内でラテラルムーブメントを行うための資格情報を得るための「ハンズオンキーボード」による試みでした。特に、「pass.txt.lnk」というファイルがディスクに書き込まれ、アクセスされていたことは、活発な資格情報収集が行われていたことを示唆しています。
Flax Typhoonの戦術と背景
政府機関、重要インフラ、IT組織を標的とすることで悪名高いFlax Typhoonは、以前から「living off the land」バイナリのような回避戦術を使用してきましたが、今回のSOEの悪用は新たな手法です。この脅威グループは、正規のソフトウェアを通じて長期的なステルスアクセスを確立するスパイ活動で知られています。FBIはFlax Typhoonを、米国に影響を与えた大規模な「Raptor Train」ボットネットと関連付けており、今年初めには米財務省外国資産管理局(OFAC)が、この国家支援型ハッカーを支援した企業に制裁を課しています。
Esriは、SOEがこのように悪用されたのは初めてであると確認しており、ユーザーに悪意のあるSOEのリスクについて警告するため、ドキュメントを更新する予定です。