概要:ArcGISの悪用による長期的な潜伏
中国の国家支援ハッカーが、Esri社の地理情報システム(GIS)であるArcGISのコンポーネントをウェブシェルに転用し、1年以上にわたり標的環境に潜伏していたことが明らかになりました。サイバーセキュリティ企業ReliaQuestの研究者たちは、この脅威アクターが中国のAPTグループであり、「Flax Typhoon」である可能性が高いと見ています。
攻撃手法:悪意のあるSOEを介した侵入
ReliaQuestがBleepingComputerに共有したレポートによると、ハッカーは有効な管理者認証情報を使用して、公開されているArcGISサーバーにログインしました。このサーバーは、プライベートな内部ArcGISサーバーにリンクされていました。攻撃者はこのアクセスを利用して、悪意のあるJava SOE(Server Object Extension)をアップロードし、これをウェブシェルとして機能させました。このSOEは、REST APIパラメータ(layer)を介してBase64エンコードされたコマンドを受け取り、内部ArcGISサーバー上で実行しました。これらの操作は、通常のルーチン作業として偽装されていました。さらに、この通信はハードコードされた秘密鍵によって保護されており、攻撃者のみがこのバックドアにアクセスできる状態でした。
永続性の確立と内部ネットワークへの拡大
永続性を確立し、ArcGISポータルを超えて能力を拡張するため、Flax Typhoonは悪意のあるSOEを利用してSoftEther VPN Bridgeをダウンロード・インストールしました。これをWindowsサービスとして登録し、システム起動時に自動的に開始するように設定しました。起動後、VPNは攻撃者のサーバー(172.86.113[.]142)へのアウトバウンドHTTPSトンネルを確立し、被害者の内部ネットワークと攻撃者のマシンを接続しました。このVPNはポート443で通常のHTTPSトラフィックを使用するため、正規のトラフィックに紛れ込み、SOEが検出・削除されたとしてもVPNサービスはアクティブなままでした。
内部活動と標的型攻撃
VPN接続を悪用することで、攻撃者はウェブシェルに依存することなく、以下の活動を実行できました。
- ローカルネットワークのスキャン
- ラテラルムーブメント(内部での横方向の移動)
- 内部ホストへのアクセス
- 認証情報のダンプ
- データの窃取
ReliaQuestは、標的組織のITスタッフに属する2つのワークステーションに対する不審な行動を観測しました。ハッカーは、SAM(Security Account Manager)データベース、セキュリティレジストリキー、LSAシークレットのダンプを試みていました。研究者たちは、「これらは、ネットワーク内での足場を深めるために必要な認証情報を取得し、権限を昇格させるための明確な『ハンズオンキーボード』による試みでした」と述べています。特に注目すべきは、「pass.txt.lnk」というファイルがディスクに書き込まれ、アクセスされたことで、これはActive Directory環境内でのラテラルムーブメントのための認証情報収集が活発に行われていたことを示唆しています。
脅威アクター「Flax Typhoon」のプロファイルと業界の対応
Flax Typhoonは、政府機関、重要インフラ、IT組織を標的とすることで悪名高いグループです。彼らは以前から「Living off the land」バイナリなどの回避戦術を使用してきましたが、今回のSOEの悪用は新しい手法です。この脅威グループは、正規のソフトウェアを介して長期的なステルスアクセスを確立するスパイ活動で知られています。FBIはFlax Typhoonを、米国に影響を与えた大規模な「Raptor Train」ボットネットと関連付けており、今年初めには米財務省外国資産管理局(OFAC)が、この国家支援ハッカーを支援した企業に制裁を課しています。Esriは、SOEがこのように悪用されたのは初めてだと確認しており、ユーザーに悪意のあるSOEのリスクを警告するためにドキュメントを更新する予定です。