はじめに:ArcGISを悪用した長期的な侵入
中国の国家支援ハッカー集団が、地理情報システム(GIS)ツール「ArcGIS」のコンポーネントを悪用し、1年以上にわたり標的の環境に潜伏していたことが明らかになりました。この攻撃では、ArcGISのサーバーオブジェクト拡張(SOE)が悪意のあるウェブシェルとして利用されました。Esriが開発するArcGISは、自治体、公益事業、インフラ事業者によって空間データや地理データの収集、分析、可視化、管理に広く使用されています。
サイバーセキュリティ企業ReliaQuestの研究者たちは、この脅威アクターが中国のAPTグループであると確信しており、特にFlax Typhoonである可能性が高いと見ています。
攻撃の詳細:SOEを悪用したウェブシェル
ReliaQuestがBleepingComputerに共有した報告によると、ハッカーは有効な管理者認証情報を使用して、公開されているArcGISサーバーにログインしました。このサーバーは、プライベートな内部ArcGISサーバーにリンクされていました。攻撃者はこのアクセスを利用して、悪意のあるJava SOEを内部ArcGISサーバーにアップロードし、これをウェブシェルとして機能させました。
このウェブシェルは、REST APIパラメーター(layer)を通じてbase64エンコードされたコマンドを受け入れ、内部ArcGISサーバー上で実行しました。これらのコマンドは、システム上では日常的な操作として偽装されていました。さらに、この通信はハードコードされた秘密鍵によって保護されており、攻撃者のみがこのバックドアにアクセスできる状態でした。
永続化と内部ネットワークへの拡大:SoftEther VPNの利用
ArcGISポータルを超えて永続性を確立し、その能力を拡張するため、Flax Typhoonは悪意のあるSOEを利用してSoftEther VPN Bridgeをダウンロード・インストールしました。これをWindowsサービスとして登録し、システム起動時に自動的に開始するように設定しました。
起動後、VPNは攻撃者のサーバー(172.86.113[.]142)へのアウトバウンドHTTPSトンネルを確立しました。これはポート443で通常のHTTPSトラフィックを使用するため、正規のトラフィックに紛れ込み、検出を困難にしました。たとえSOEが検出・削除されたとしても、VPNサービスは活動を続ける設計でした。
このVPN接続を悪用し、攻撃者は以下の活動を行いました。
- ローカルネットワークのスキャン
- ラテラルムーブメント(内部ネットワーク内での横方向の移動)
- 内部ホストへのアクセス
- 資格情報のダンプ
- データの流出
特筆すべき行動とFlax Typhoonの戦術
ReliaQuestは、標的組織のITスタッフに属する2つのワークステーションに対する不審な行動を観測しました。ハッカーは、Security Account Manager(SAM)データベース、セキュリティレジストリキー、およびLSAシークレットのダンプを試みていました。研究者たちはこれを「特権を昇格させ、Active Directory(AD)環境内で横方向に移動し、追加のシステムを侵害するために必要な資格情報を得るための、明確な『ハンズオンキーボード』による試み」と指摘しています。
特に注目すべきは、「pass.txt.lnk」というファイルがディスクに書き込まれ、アクセスされていたことです。これは、AD環境内で横方向に移動するための資格情報収集が活発に行われていたことを示唆しています。
Flax Typhoonは、政府機関、重要インフラ、IT組織を標的とすることで悪名高いグループです。彼らは以前から「Living off the land」(正規のシステムツールを悪用する)バイナリのような回避戦術を使用してきましたが、今回のSOEの悪用は彼らにとって新しい手法です。この脅威グループは、正規のソフトウェアを通じて長期的なステルスアクセスを確立するスパイ活動で知られています。FBIはFlax Typhoonを大規模な「Raptor Train」ボットネットと関連付けており、今年初めには米財務省外国資産管理局(OFAC)が、この国家支援ハッカーを支援した企業に制裁を課しています。
Esriの対応と今後の警告
Esriは、SOEがこのような形で悪用されたことを初めて確認したと述べています。同社は、悪意のあるSOEのリスクについてユーザーに警告するため、ドキュメントを更新する予定です。