中国に大きな拠点を持つ米国のある大組織が、2024年4月から8月にかけて、中国を拠点とする脅威行為者によってネットワークに侵入されたと報告された。
シマンテックの脅威リサーチャーによると、この作戦は情報収集に重点を置いていたようで、複数の侵害されたマシンが関与し、Exchangeサーバーを標的として、おそらく電子メールとデータの流出を目的としていたようです。
研究者たちは、侵入された米国の組織名を明示していないが、同じ組織が2023年に中国を拠点とする「Daggerfly」脅威グループによって標的にされたことに言及している。
攻撃のタイムライン
侵入はもっと早く始まっていたかもしれないが、シマンテックがこのインシデントを可視化したのは2024年4月11日で、不審なWindows Management Instrumentation(WMI)コマンドとレジストリのダンプが実行されたときだった。
最初の感染経路はまだ不明ですが、シマンテックは、「Kerberoasting」として知られる手法で、サービスプリンシパル名(SPN)とKerberosトークンをActive Directoryに照会するPowerShellの実行を観察することができました。
6月2日、脅威行為者は2台目のマシンに移動し、名前を変更したFileZillaコンポーネント(putty.exe)を使用しました。
このマシン上で、脅威行為者は「ibnettle-6.dll」と「textinputhost.dat」というファイルを永続化のために使用しており、これらは中国の脅威グループ「Crimson Palace」による攻撃で(ソフォスとRecordedFutureによって)以前に確認されています。
同じ頃、攻撃者はさらに2台のマシンに感染させ、レジストリ操作によって永続性を確保し、監視と横移動に使用した。
これらのマシンでは、ハッカーはWMIを使用してWindowsイベントログにログオンやアカウントのロックアウトを問い合わせ、PowerShellを使用して135番ポートのRPCや3389番ポートのPDRなどのネットワーク接続をテストし、PsExecを使用してExchangeサーバーなどのドメイングループに問い合わせた。
最後に、6月13日に組織内の5台目のマシンが侵害され、攻撃者は「iTunesHelper.exe」を起動し、ペイロードを実行するために悪意のあるDLL(「CoreFoundation.dll」)をサイドロードしました。
この攻撃の興味深い点は、ハッカーが侵入されたマシンそれぞれに明確な役割を割り当て、構造化されたアプローチに従ったことです。
標的となった組織やファイルに対する以前の活動に基づくアトリビューションは弱い。
しかし、シマンテックは、PsExec、PowerShell、WMI、およびFileZilla、Impacket、PuTTY SSHのようなオープンソースのツールのような「土地で生活する」ツールの広範な使用は、中国のハッカーの戦術と一致していることも指摘しています。
Comments