サイバーニュース.jp

世界のサイバーなニュースを配信

中国系ハッカー集団が乗っ取ったサーバーをShadowPadノードに転用、巧妙な新戦術が明らかに

カテゴリ:

概要:Ink Dragonの高度な攻撃

中国を拠点とする高度な脅威アクター「Ink Dragon」(別名:Earth Alux、Jewelbug、REF7707、CL-STA-0049)が、侵害したサーバーを分散型リレーノードに変えるためのカスタムShadowPad IISリスナーモジュールを兵器化していることが、Check Point Researchの調査で判明しました。

この戦術は、彼らの運用能力における重大なエスカレーションを示しており、攻撃者は世界中の被害組織にまたがる永続的で多層的なコマンド&コントロール(C2)インフラストストラクチャを確立することが可能になります。

活動範囲の拡大

Ink Dragonは、少なくとも2023年初頭から政府、通信、公共部門のインフラを標的とした持続的なキャンペーンを実施してきました。当初は東南アジアと南アメリカに活動を集中していましたが、最近の活動ではヨーロッパの政府機関へと標的を拡大しており、スパイ活動の地理的多様化を示しています。

ShadowPad IISリスナーモジュールの詳細

カスタムのShadowPad IISリスナーモジュールは、グループのインフラ戦略の技術的な要となっています。このモジュールを複数の侵害されたサーバーに展開することで、攻撃者は各侵害されたアセットを、コマンドの受信、転送、プロキシを行うことができる通信ノードへと効果的に変換します。この分散型メッシュアーキテクチャにより、攻撃者は単一組織のネットワーク内だけでなく、異なる被害者ネットワーク全体にトラフィックをルーティングできます。結果として、単一の侵害が、進行中のキャンペーンをサポートするグローバルな多層リレーネットワークの「ホップ」の一つとなるのです。

モジュールの巧妙な動作

  • 正規のIISコンポーネントを装い、秘密のC2機能を提供します。
  • 「C:\inetpub\wwwroot」のような現実的なデフォルトパスや、「Microsoft-IIS/10.0」のようなサーバータイプ文字列を使用し、標準的なWindows Serverインストールにシームレスに溶け込みます。
  • 攻撃者が設定したURLパターンに一致するHTTPリクエストを傍受し、それ以外のリクエストは通常のIISトラフィックとして処理することで、運用上のステルス性を維持します。

初期アクセス手法とリレーネットワーク構築

ターゲットネットワークへの初期アクセスは、長く知られているものの依然として存在する脆弱性の悪用に基づいています。Ink Dragonは、公開されているマシンキーを介したASP.NET ViewState逆シリアル化攻撃を引き続き利用しています。

また、グループはToolShell SharePointの脆弱性チェーンへの早期アクセスも示しており、2025年7月には大規模なスキャン操作を実施しました。この多角的なアプローチは、一貫性のないウェブ設定を持つ大規模組織に対する実践的な拡張性を示しています。

ShadowPad IISモジュールは、確立されるとサーバーリストとクライアントリストの2つのピアレジストリを同時に維持します。ノードはどちらかのカテゴリに登録でき、サーバーエントリは継続的な可用性を確認するために30秒ごとに定期的に再検証されます。30秒間ペアリングされないクライアントは、古いリンクを防ぐために自動的に削除されます。この設計により、侵害されたインフラ全体で洗練されたリレーネットワークトポロジー管理が可能になります。

検出の課題と防御策

このモジュールは、リレーロジック自体を超えて、外部IPアドレスと内部IPアドレス間で転送するバイト数を文書化するデバッグ文字列という、珍しく豊富なフォレンジックアーティファクトを残します。

モジュールのコマンドアーキテクチャは、リレーネットワークの構築と従来のバックドア機能という2つの並行したトラックで動作します。ピアツーピア通信の確立を超えて、このモジュールは完全に機能するShadowPadバックドアとして機能し、オペレーターがホスト偵察、ファイル操作、データ収集、ペイロードステージング、積極的な横方向の移動を実行できるようにします。この二重目的の設計は、Ink Dragonの成熟した開発モデルとモジュール式ツール哲学を反映しています。

特筆すべきは、Ink Dragonが強化されたステルス機能と高いデータ流出スループットを特徴とする新しい「FinalDraft」バックドアの亜種を導入し、巧妙な横方向の移動を可能にする高度な回避技術と組み合わせている点です。

侵害されたヨーロッパの政府機関のフォレンジック分析は、ウェブ中心の初期アクセス、ハンズオンキーボード活動、段階的なローダー、権限昇格、資格情報の収集、迅速なドメイン支配の達成という完全なキルチェーンを明らかにしています。

推奨される防御策

組織は以下の点を優先すべきです。

  • インターネットに公開されているIISおよびSharePointサーバーの保護
  • 強力なマシンキー管理プラクティスの実装
  • 疑わしいHTTPリスナー登録活動の監視

これらが重要な防御策となります。

元記事: https://gbhackers.com/shadowpad-nodes/

投稿をさらに読み込む