xHunt APTグループの概要と標的
高度な持続的脅威(APT)グループであるxHuntは、カスタム構築されたバックドアを用いてMicrosoft ExchangeおよびIISウェブサーバーを標的とする洗練された攻撃により、依然として重大なサイバーセキュリティリスクをもたらしています。この高度に集中したサイバー諜報活動は、主にクウェートの組織、特に海運、運輸、政府部門を対象とした、数年にわたる持続的なキャンペーンを維持してきました。
2018年7月に初めて特定されたxHuntは、人気アニメシリーズ「ハンター×ハンター」のキャラクターにちなんで名付けられたマルウェアを使用する、独自の進化するツールキットによってその名を馳せています。この脅威アクターは、SectorD01、Hive0081、Cobalt Katana、Hunter Serpensとしても追跡されており、その攻撃手法において卓越した技術力と創造性を実証しています。グループは、直接的なサーバー侵害から精巧な認証情報窃取操作まで、多様な侵入技術を採用しています。彼らの最も革新的な戦術の1つは、侵害されたクウェート政府のウェブサイトに対する水飲み場型攻撃でした。攻撃者は、アクターが制御するサーバーを指す隠されたHTML画像タグを挿入し、自動的なブラウザ認証試行をトリガーすることで、訪問者からNTLMハッシュをパッシブに収集するように設計されていました。この技術は、file:// URIスキームを使用した悪意のあるSMB共有参照を利用し、ユーザーが侵害されたページを訪れた際にNTLMv2ハッシュを自動的にキャプチャしました。
カスタムバックドアの兵器庫
Microsoft ExchangeおよびIISウェブサーバーの直接的な侵害において、xHuntは洗練されたカスタムバックドアスイートを展開します。BumbleBeeウェブシェルは侵害されたサーバー上での直接的なコマンド実行を可能にし、TriFiveやSnugy(CASHY200の亜種)のようなPowerShellベースのバックドアは、被害者ネットワークへの永続的なアクセスを提供します。これらのツールは、グループの高度なプログラミング能力とWindowsインフラストラクチャに対する深い理解を示しています。
おそらく最も注目すべきは、xHuntのコマンド&コントロール(C2)通信に対する創造的なアプローチです。HisokaおよびTriFiveバックドアは、Exchange Web Services(EWS)を利用して、侵害されたユーザーのメールボックス内のメール下書きを読み書きすることで通信し、明示的に「下書き」または「削除済みアイテム」フォルダを標的とします。この技術により、攻撃者は悪意のある通信を正当なメールトラフィックと混在させることができ、検出作業を著しく複雑にしています。TriFiveバックドアは、このアプローチの典型例であり、以前に盗んだ認証情報を使用して正当なユーザーのメールボックスにログインし、メール下書きとして保存されたPowerShellペイロードを取得し、「555」という件名を持つ暗号化およびBase64エンコードされた下書きメッセージを介して送信されたコマンドを実行します。
運用タイムラインと防御回避技術
グループの主な活動には、2019年5月から6月にかけてクウェートの運輸・海運企業を標的としたキャンペーンが含まれ、Hisoka、Sakabota、Netero、Killuaといったバックドアが使用されました。2019年から2020年にかけて、xHuntアクターはクウェートの組織のMicrosoft Exchangeサーバーを侵害し、TriFiveおよびSnugy PowerShellバックドアとBumbleBeeウェブシェルを展開して長期的な永続性を確立しました。
アクセスを維持するために、xHuntは、正当なWindowsシステムタスクを装って、定期的にPowerShellバックドアを実行するスケジュールされたタスクを利用します。グループはまた、以下のような高度な防御回避能力も実証しています。
- LSASSメモリからの認証情報ダンプ
- プレーンテキストパスワード保存を可能にするレジストリ変更
- 複数の国にまたがるVPNインフラストラクチャの使用による発信元の難読化
組織は、セキュリティ検証プラットフォームを使用してxHuntの戦術に対する防御をテストし、実際の脅威に直面する前に検出および対応能力のギャップを特定することができます。