概要:ArcGISを悪用した長期的な潜伏
中国の国家支援型ハッカーグループが、地理情報システム(GIS)ツールであるArcGISのコンポーネントをウェブシェルに転用し、標的の環境内で1年以上にわたり検出されずに活動していたことが明らかになりました。この攻撃は、既存の正規ツールを悪用する「Living off the land」戦術の新たな手口として注目されています。
ArcGISはEsri(Environmental Systems Research Institute)が開発したソフトウェアで、自治体、公益事業、インフラ事業者などが地理空間データの収集、分析、可視化、管理に利用しています。このソフトウェアは、機能を拡張するためのサーバーオブジェクト拡張(SOE)をサポートしています。
攻撃の詳細:悪意あるSOEによる侵入とコマンド実行
サイバーセキュリティ企業ReliaQuestの研究者たちは、この脅威アクターが中国のAPT(Advanced Persistent Threat)グループであると確信しており、「Flax Typhoon」である可能性が高いと見ています。
- 初期侵入:ハッカーは有効な管理者認証情報を使用して、公開されているArcGISサーバーにログインしました。このサーバーは、内部のプライベートなArcGISサーバーにリンクされていました。
- ウェブシェルの展開:攻撃者はアクセス権を利用して、悪意のあるJava SOEをウェブシェルとしてアップロードしました。
- コマンド実行:このウェブシェルは、REST APIのパラメータ(
layer)を通じてBase64エンコードされたコマンドを受け取り、内部のArcGISサーバー上で実行しました。これらのコマンドは、正規の操作として偽装されていました。 - 秘匿性:攻撃者のみがこのバックドアにアクセスできるよう、通信はハードコードされた秘密鍵によって保護されていました。
永続化と内部ネットワークへの拡大
Flax Typhoonは、ArcGISポータルを超えて永続性を確立し、その能力を拡張するために以下の手法を用いました。
- VPNの導入:悪意のあるSOEを利用して、SoftEther VPN Bridgeをダウンロードおよびインストールし、システム起動時に自動的に開始するWindowsサービスとして登録しました。
- C2通信:このVPNは、攻撃者のサーバー(
172.86.113[.]142)へのアウトバウンドHTTPSトンネルを確立しました。ポート443の正規のHTTPSトラフィックに紛れることで、検出を回避しました。 - 永続性の維持:たとえSOEが検出・削除されたとしても、VPNサービスはアクティブなままでした。
- 横展開:VPN接続を悪用し、攻撃者はローカルネットワークのスキャン、横方向への移動、内部ホストへのアクセス、資格情報のダンプ、データ流出などを実行しました。
- ITスタッフへの標的型攻撃:ReliaQuestは、標的組織のITスタッフに属する2つのワークステーションに対する不審な行動を観測しました。ハッカーは、SAM(Security Account Manager)データベース、セキュリティレジストリキー、LSA(Local Security Authority)シークレットのダンプを試みました。
- 資格情報収集:「
pass.txt.lnk」というファイルがディスクに書き込まれ、アクセスされた形跡があり、これはActive Directory環境内での横方向移動のために積極的に資格情報を収集していたことを示唆しています。
脅威グループ「Flax Typhoon」の活動
Flax Typhoonは、政府機関、重要インフラ、IT組織を標的とすることで悪名高いグループです。彼らは以前から「Living off the land」バイナリのような回避戦術を使用してきましたが、今回のSOEの悪用は新たな手法です。
この脅威グループは、正規のソフトウェアを通じて長期的なステルスアクセスを確立するスパイ活動で知られています。FBIはFlax Typhoonを、米国に影響を与えた大規模な「Raptor Train」ボットネットと関連付けており、今年初めには米財務省外国資産管理局(OFAC)が、この国家支援型ハッカーを支援した企業に制裁を課しています。
Esriは、SOEがこのような形で悪用されたのは初めてのケースであることを確認しており、ユーザーに悪意のあるSOEのリスクについて警告するため、ドキュメントを更新する予定です。