xHunt APTの概要と標的
xHuntは、クウェートの組織を標的とする洗練されたサイバースパイグループです。2018年7月以降、海運、運輸、政府部門に対し、複数年にわたる継続的なキャンペーンを展開しています。このグループは、アニメ「ハンター×ハンター」の登場人物にちなんでマルウェアに名前を付けるという特徴的なアプローチをとっており、これがグループ名の由来にもなっています。
Microsoft ExchangeおよびIISサーバーの悪用
xHuntの運用上の洗練性は、単純なマルウェア展開にとどまりません。彼らは、特にMicrosoft ExchangeおよびInternet Information Services (IIS) ウェブサーバーといったウェブに面したインフラストラクチャを標的とすることに優れた適応性を示しています。2019年から2020年にかけてのキャンペーンでは、クウェートの組織のMicrosoft Exchangeサーバーを侵害し、複数のチャネルを通じて永続的なバックドアアクセスを確立しました。この攻撃ベクトルは、彼らが被害者ネットワーク内で長期的な存在を維持し、ほとんど検出されないまま活動を続ける上で不可欠でした。
カスタムマルウェアとC2メカニズム
xHuntの運用プレイブックの中心となったのは、直接的なコマンド実行のために設計されたカスタムウェブシェルである「BumbleBee」の展開でした。BumbleBeeは、侵害されたウェブサーバーを通じて、内部システム上で信頼性の高いコマンド&コントロール機能を提供しました。このツールセットを補完するために、xHuntはPowerShellベースのバックドアである「TriFive」と「Snugy」(CASHY200の亜種)を展開し、Windowsの組み込みスクリプト機能を利用して永続性を確立し、疑われることなく悪意のあるコマンドを実行しました。
最も注目すべきは、xHuntのコマンド&コントロール通信に対する創造的なアプローチです。TriFiveおよびHisokaバックドアは、Exchange Web Services (EWS) を悪用する方法を採用し、従来のC2チャネルを避けています。これらのバックドアは、侵害されたユーザーのメールボックス内の下書きまたは削除済みアイテムフォルダを利用し、メールの下書きを読み書きすることで通信します。オペレーターは、特定件名とBase64エンコードされたペイロードを含むメールの下書きを作成することでコマンドを発行し、応答は暗号化されてメールボックスに保存されます。
初期アクセス戦略と認証情報の悪用
ネットワークに確立されると、xHuntはPuTTY Link (Plink) を介したSSHトンネリングを利用し、内部リソースへの暗号化されたトンネルを構築します。この手法は、正規のメールインフラストラクチャを悪用して悪意のある通信を隠蔽し、検出を著しく困難にします。
xHuntの初期アクセス戦略は、忍耐強く計画的であることを示しています。あるウォーターホール攻撃では、クウェートの政府ウェブサイトを侵害し、パッシブなNTLMハッシュハーベスティングをトリガーする隠しHTML画像タグを注入しました。ファイル://URIスキームを使用して攻撃者が制御するSMB共有を参照することで、訪問ユーザーの認証情報を知らぬ間に自動的に捕捉しました。この手法は、Windows認証メカニズムに対する彼らの理解と、偵察目的でそれらを悪用する能力を浮き彫りにしています。
このグループは、リモートデスクトッププロトコルサービスと内部IISサーバーへのアクセスに特に関心を示しており、侵害された環境内での横移動と特権昇格に対する体系的なアプローチを示唆しています。
セキュリティの難読化と帰属
このグループのインフラ保護戦術は、運用上の成熟度を明らかにしています。インターネットに公開されているExchangeサーバー上のウェブシェルに直接アクセスする際、xHuntはPrivate Internet Access VPNサービスを通じてトラフィックをルーティングし、ヨーロッパの複数の国(ベルギー、ドイツ、アイルランド、イタリア、ルクセンブルク、オランダ、ポーランド、ポルトガル、スウェーデン、英国)にあるサーバー間を継続的にローテーションしています。この意図的な難読化戦略は、帰属とフォレンジック分析を複雑にし、グループの真の運用元を効果的に隠蔽しています。
海運、運輸、政府部門におけるクウェートの組織への継続的な焦点は、xHuntが日和見的な金銭的利益を追求するのではなく、特定の戦略的目標を持って活動していることを示唆しています。彼らのツールの高度さ、キャンペーンの永続性、および運用セキュリティ対策の創造性は、国家支援または十分にリソースを有する脅威活動を示しています。
推奨される対策
湾岸地域の組織は、ウェブサーバーのアクセスログ、メールシステムのアクティビティ、およびPowerShellの実行の監視を強化するとともに、この強固な脅威者による侵害のリスクを軽減するために、堅牢な認証情報管理慣行を実装すべきです。