概要
高価値の組織が南アジア、東南アジア、東アジアを対象に、中国の脅威アクターによって長年にわたるキャンペーンの一環として標的とされています。この活動は、航空、エネルギー、政府、法執行機関、製薬、技術、通信セクターを対象としています。
脅威アクターの特徴
パロアルトネットワークズのUnit 42は、この未記録の脅威活動グループを「CL-UNK-1068」と命名しました。「CL」は「クラスター」を、「UNK」は「未知の動機」を意味します。しかし、セキュリティベンダーは「中程度から高程度の確信」を持って、このキャンペーンの主な目的がサイバースパイ活動であると評価しています。
使用ツール
セキュリティ研究者Tom Faktermanは、マルウェア、オープンソースユーティリティの修正版、および「living-off-the-land binaries (LOLBINs)」を含む多面的なツールセットが使用されていると述べています。これらのツールは、攻撃者がターゲット環境内で持続的な存在を維持するためのシンプルで効果的な方法を提供します。
攻撃チェーン
- Webサーバーの脆弱性を悪用してウェブシェルを配布し、他のホストに横展開を試みます。
- 「web.config」、「.aspx」、「.asmx」、「.asax」、「.dll」などの特定の拡張子を持つファイルを「c:\inetpub\wwwroot」ディレクトリから窃取しようとします。
- Webブラウザの履歴とブックマーク、デスクトップとUSERディレクトリからのXLSXとCSVファイル、およびMS-SQLサーバーからのデータベースバックアップ(.bak)ファイルを収集します。
データのエクスフィラート
脅威アクターは、WinRARを使用して関連ファイルをアーカイブし、Base64エンコードを実行してアーカイブをテキストとして印刷することでデータをエクスフィラートします。この方法は、ホスト上のシェルがコマンドを実行し、出力を表示できるがファイルを直接転送できない場合に選択されます。
マルウェアとツール
CL-UNK-1068は、Pythonの実行可能ファイルを使用してDLLサイドローディング攻撃を実行し、悪意のあるDLLを秘密裏に実行します。また、Mimikatz、LsaRecorder、DumpItForLinux、Volatility Framework、SQL Server Management Studio Password Export Toolなどのツールを使用して、認証情報の窃取を行います。
結論
「主にオープンソースツール、コミュニティ共有のマルウェア、およびバッチスクリプトを使用して、このグループは成功裏に静かに操作を維持しながら、重要な組織に侵入しています」とUnit 42は結論付けています。「この活動クラスターは、WindowsとLinux環境の両方で動作する柔軟性を示しています。また、クリティカルインフラストラクチャと政府セクターからの資格情報と機密データの窃取に焦点を当てていることから、スパイ活動の動機が強く示唆されていますが、サイバー犯罪の意図を完全には排除することはできません。」
元記事: https://thehackernews.com/2026/03/web-server-exploits-and-mimikatz-used.html