中国系APTグループ「Phantom Taurus」の新たな脅威
中国と関連する高度な持続的脅威(APT)グループ「Phantom Taurus」が、アフリカ、中東、アジア地域の政府機関および通信事業者を標的としたスパイ活動を激化させています。彼らは新たに発見された.NETマルウェアスイート「NET-STAR」を展開していることが明らかになりました。
このグループは、Unit 42によって2023年6月に「CL-STA-0043」として初めて追跡され、2024年5月には一時的に「TGR-STA-0043(Operation Diplomatic Specter)」と命名されました。そして2025年には、中華人民共和国(PRC)の国家利益と連携する明確な脅威アクターとして正式に認定されました。
標的と戦略的優先事項
過去2年半にわたり、Phantom Taurusのキャンペーンは、外務省、大使館、および地政学的イベントや軍事作戦に関与する組織を一貫して標的としてきました。彼らの被害者像は、中国が影響力と洞察力を求める地域における外交通信、防衛関連情報、および重要な政府機能に焦点を当てており、PRCの戦略的優先事項と一致しています。
独自の戦術、技術、手順 (TTPs)
多くの中国系APTがChina ChopperやPotatoスイートなどの一般的なツールを使用する一方で、Phantom Taurusは独自のカスタム開発されたTTPsを通じて、高度に秘密裏で持続的な作戦を可能にしています。Unit 42の分析によると、Phantom TaurusはIron Taurus(APT27)、Starchy Taurus(Winnti)、Stately Taurus(Mustang Panda)と一部のインフラを共有していますが、他のキャンペーンでは観測されていない排他的なコンポーネントを使用しています。この区分けは、より広範な中国系APTグループ内における専門化された運用セグメントを示唆しています。
データベースからの情報窃取手法
2025年初頭、Phantom Taurusはメールを介した侵害アプローチから、直接的なデータベースターゲティングへと移行しました。彼らはカスタムスクリプト「mssq.bat」を使用し、盗んだ認証情報を通じてSQL Serverインスタンスに接続します。これにより、動的にクエリを発行し、結果をCSVファイルにエクスポートします。この実行はWindows Management Instrumentation(WMI)を介して行われ、侵害された環境内でスクリプトをリモートでメモリ内で実行することを可能にしています。
「NET-STAR」マルウェアスイートの詳細
調査における画期的な発見は、これまで文書化されていなかったマルウェアスイート「NET-STAR」の解明でした。これはInternet Information Services(IIS)ウェブサーバーを侵害するために設計されており、マルウェアのPDBパスに埋め込まれた「STAR」文字列にちなんで名付けられました。NET-STARは、以下の3つの.NETベースのコンポーネントで構成されています。
- IIServerCore: w3wp.exe IISワーカープロセス内でメモリ内で実行されるモジュール式のファイルレスバックドアです。ASPXウェブシェル(OutlookEN.aspx)を介して配信され、コマンドを復号し、ペイロードをロードし、暗号化されたコマンド&コントロールチャネルを介して通信します。また、ファイルメタデータを動的に変更して検出ツールを混乱させる「changeLastModified」コマンドも実装しています。
- AssemblyExecuter V1: .NETアセンブリを入力として受け取り、メモリ内で実行し、ディスクベースの検出メカニズムを回避することで、アンチウイルスフラグを最小限に抑えるローダーです。
- AssemblyExecuter V2: Antimalware Scan Interface(AMSI)およびEvent Tracing for Windows(ETW)のバイパスルーチンを組み込んだ高度なバリアントで、厳重に監視された環境でのステルスな操作を可能にします。
Phantom Taurusは、ウェブシェルやバックドアコンポーネントのファイルタイムスタンプを変更する「タイムスタンピング」技術を利用し、コンパイル時間をランダム化することでフォレンジック分析を回避しています。
影響と推奨事項
NET-STARの導入は、インターネットに接続されたサーバーに対する中国系APTの能力が著しくエスカレートしたことを示しています。IISウェブサービスを運用する組織、特に高関心地域にある省庁、大使館、通信事業者は、以下の対策を講じるべきです。
- w3wp.exeのメモリ操作および異常なASPXファイル活動に対する堅牢な監視を実装する。
- SQLアカウントの最小権限を徹底し、mssq.batのようなデータベース情報窃取スクリプトを阻止するために管理者認証情報を定期的にローテーションする。
- メモリ内での.NET実行およびAMSI/ETWバイパス試行を検査・検出するEndpoint Detection and Response(EDR)ソリューションを導入する。