概要

高度に洗練されたサイバー諜報組織CL-UNK-1068は、2020年から少なくとも南アジア、東南アジア、東アジアの重要なインフラを標的としています。この組織は中国から発生し、航空、エネルギー、政府、警察、技術、通信などの高価値セクターを重点的に攻撃しています。

攻撃手法と脅威分析

CL-UNK-1068は、GodZillaやAntSwordなどの人気ウェブシェルを使用して攻撃を開始し、ネットワーク内に侵入します。その後、python.exeやpython20.dllなどの正当なPythonバイナリを使用して、悪意のあるファイルをメモリ内にロードし、危険なペイロードを直接実行します。

• GodZilla / AntSword: 初期アクセスとサーバー間の横展開に使用されるウェブシェル。
• python.exe / python20.dll: メモリ内で悪意のあるシェルコードをロードするDLLサイドローディング。
• ScanPortPlus: IP、ポート、脆弱性スキャンを行うマルチプラットフォームネットワークスキャナ。
• frpforzhangwei: パスワードがハードコードされた独自のFast Reverse Proxy。
• Xnote: LinuxサーバーでDDoS攻撃を実行するためのバックドア。

防御戦略

CL-UNK-1068からの攻撃を防ぐためには、組織は静的なインディケータに頼らず、行動的な異常を厳密に監視する必要があります。セキュリティチームは、正当なPythonバイナリの誤使用、非認証のトンネリングツールの実行、システムレコンのための未認知のバッチスクリプトの使用を監視する必要があります。

• 行動監視: 不審なPython実行、rar.batやhp.batなどの独自バッチスクリプトの使用、データエクスフィラーションを示唆する異常なSQLデータベースクエリを監視。
• ネットワーク防御: 未認知のトンネリングツールをブロックし、異常なアウトバウンド通信を継続的に監視。
• エンドポイントセキュリティ: Cortex XDRなどの高度なエンドポイント保護を導入。
• ファイアウォール保護: 最新の脅威防止シグネチャを適用。
• 脆弱性管理: VMWare vCenter Serverデバイスの公開インターネットへの露出を迅速に特定し、保護。

元記事: https://gbhackers.com/cyber-espionage-group-cl-unk-1068-targets-asian-infrastructure/