Hacker

警察庁と内閣サイバーセキュリティセンターは、日本を標的としたサイバースパイキャンペーンと、中国国家を後ろ盾とするハッキンググループ「MirrorFace」との関連を明らかにした。

このキャンペーンは2019年から実施されており、現在も継続中である。日本の捜査当局は、ターゲットや攻撃方法が異なる明確な段階を観察している。

いずれの場合も、貴重で高度な日本の技術に関する情報を盗み出し、国家安全保障に関する情報を収集することが主な目的である。

MirrorFaceは別名「Earth Kasha」とも呼ばれ、以前ESETによって、選挙前に日本の政治家への攻撃を行い、フィッシングメールを使用して「MirrorStealer」と名付けられた認証情報ステーラーと「LODEINFO」バックドアを展開することが確認されている

政府とテクノロジーを標的に

NPAのMirrorFace活動の分析によると、中国のハッカーは、Array NetworksのCVE-2023-28461、FortinetアプライアンスのCVE-2023-27997、Citrix ADC/GatewayのCVE-2023-3519など、ネットワーク機器の欠陥を悪用している。

ネットワークに侵入した脅威者は、標的としたコンピュータを、LODEINFO、ANEL、NOOPDOOR、その他データ流出が可能なマルウェアファミリーや、持続的な長期アクセスを目的とした各種バックドアに感染させます。

NPAは、MirrorFaceハッカーが実施した3つの異なるキャンペーンを特定しました:

  • キャンペーンA(2019~2023年):キャンペーンA(2019年~2023年):シンクタンク、政府機関、政治家、メディアを標的として、マルウェアを仕込んだ電子メールで情報を盗む。
  • キャンペーンB(2023年):インターネット接続機器のソフトウェアの脆弱性を悪用し、日本の半導体、製造業、ICT、学術、航空宇宙分野を標的にした。
  • キャンペーンC(2024年~現在)悪意のある電子メールリンクを使用して、学術機関、シンクタンク、政治家、メディアをマルウェアに感染させた。

VSCodeとWindowsサンドボックスによる回避

NPAは、MirrorFaceがアラームを発することなく長期間ネットワークに潜伏するために使用する2つの回避方法を紹介しています。

1つ目は、Visual Studio Codeのトンネルを利用するもので、これは侵害されたシステム上にANELマルウェアによって設定されます。これらのトンネルは、感染したシステム上で実行するコマンドを受信するために使用され、通常はPowerShellコマンドです。

Using VSCode tunnels for covert communications
秘密通信にVSCodeトンネルを使用
Source:警察庁

報告によると、MirrorFaceは少なくとも2024年6月以降、VSCodeトンネルを使用しています。

これは、STORM-0866やSandman APTのような、中国の国家に支援された他のハッカーが以前に行ったとされる、文書化された戦術です。

2つ目の回避方法は、2023年6月から採用されているもので、アンチウイルスの検出を回避し、隔離された環境内でLOADEINFOを実行するためにWindows Sandbox機能を使用するものです。

Windowsサンドボックスは、ホスト・オペレーティング・システムから隔離された環境で安全にコマンドを実行し、プログラムを実行できる仮想デスクトップ環境です。

しかし、Microsoft Defenderを含むホストオペレーティングシステムはこの環境を監視しません。これにより、脅威当事者は、共有フォルダを介してホストへのローカルファイルシステムアクセスを維持しながら、リモートのコマンド&コントロール(C2)サーバと通信するマルウェアを実行することができます。

The sandbox evasion method
Windows Sandboxの回避手法
ソースはこちら:警察庁

以上のことから、NPAはシステム管理者に対し、不審なPowerShellログ、VSCodeドメインとの不正な通信、異常なサンドボックスの活動を監視することを推奨しています。

Windows Sandboxで実行されたコマンドをログに記録することはできませんが、Windows Sandboxがいつ起動され、どのような構成ファイルが使用されたかを検出するために、プロセス作成を監査するようにホスト上のWindowsポリシーを構成することができるとNPAは述べています。

これにより、通常はWindows Sandboxを使用しない組織でも、その使用を検知し、さらに調査することが可能になる。