中国の国家ハッカーが、ジオマッピングツールArcGISのコンポーネントをウェブシェルに変えることで、ターゲット環境で1年以上発見されずにいた。
ArcGIS地理情報システム(GIS)はEsri(環境システム研究所)によって開発され、基本的な機能を拡張できるサーバーオブジェクトエクステンション(SOE)をサポートしている。
このソフトウェアは、自治体、公共事業、インフラ事業者が、地図を通じて空間的・地理的データを収集、分析、視覚化、管理するために使用されている。
サイバーセキュリティ企業ReliaQuestの研究者は、脅威の主体が中国のAPTグループであると確信しており、Flax Typhoonであると中程度の確信を持っている。
で共有されたレポートの中で、彼らはハッカーが有効な管理者認証情報を使って、社内のプライベートなArcGISサーバーにリンクされたパブリックなArcGISサーバーにログインしたと述べている。
攻撃者はそのアクセス権を使用して、Webシェルとして動作する悪意のあるJava SOEをアップロードし、REST APIパラメータ(レイヤー)を介してbase64エンコードされたコマンドを受け付け、内部ArcGISサーバー上で実行した。
このやり取りはハードコードされた秘密鍵によって保護され、攻撃者だけがこのバックドアにアクセスできるようになっていた。
ReliaQuest
ArcGIS から SoftEther VPN へ
持続性を確立し、ArcGIS ポータルを超えて機能を拡張するため、Flax Typhoon は悪意のある SOE を使用して SoftEther VPN Bridge をダウンロード、インストールし、システムが起動すると自動的に開始する Windows サービスとして登録した。
いったん起動すると、172.86.113[.]142 にある攻撃者のサーバーへのアウトバウンド HTTPS トンネルを確立し、被害者の内部ネットワークと脅威行為者のマシンをリンクさせました。
VPNは443番ポートで通常のHTTPSトラフィックを使用し、正規のトラフィックに紛れ込ませ、たとえSOEが検知され削除されたとしても、VPNサービスは有効なままであった。
VPN接続を利用することで、攻撃者はローカルネットワークのスキャン、横方向への移動、内部ホストへのアクセス、認証情報のダンプ、データの流出などを、ウェブシェルに頼ることなく行うことができた。
ReliaQuestは、標的組織のITスタッフが所有する2台のワークステーションを標的とした不審な行動を観察しました。ハッカーは、Security Account Manager(SAM)データベース、セキュリティ・レジストリ・キー、LSAシークレットをダンプしようとしていました。
「ハッカーは、セキュリティ・アカウント・マネージャ(SAM)データベース、セキュリティ・レジストリ・キー、およびLSAシークレットをダンプしようとしていた。「これらは、特権をエスカレートさせ、ネットワーク内での足場を固めるために必要な認証情報を得るための、明らかな “ハンズオン・キーボード “の試みであった。
「特に注目すべき観察は、”pass.txt.lnk “というファイルがディスクに書き込まれ、アクセスされていることで、Active Directory (AD)環境内で横方向に移動し、追加のシステムを侵害する可能性が高い能動的な認証情報の採取を示唆しています。
政府機関、重要インフラ、IT組織を標的にすることで悪名高いFlax Typhoonは、ここしばらくの間、“living off the land “バイナリのような回避戦術を使用してきたが、SOEは斬新な手法である。
この脅威グループは、正規のソフトウェアを通じて長期的かつステルス的なアクセスを確立するスパイ活動で知られている。
FBIはFlax Typhoonを、米国に影響を与えた巨大ボットネット “Raptor Train “と関連付け、今年初めには財務省の外国資産管理局(OFAC)が国家を支援するハッカーを支援した企業に制裁を科した。
Ersi社は、SOEがこのように使用されているのを見たのは今回が初めてであることを確認した。開発者は、悪意のあるSOEのリスクについてユーザーに警告するためにドキュメントを更新すると言っている。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
今年のセキュリティ検証イベントPicus BASサミット
Breach and Attack Simulation Summitに参加して、セキュリティ検証の未来を体験してください。一流の専門家から話を聞き、AIを搭載したBASが侵害と攻撃のシミュレーションをどのように変革するかをご覧ください。
セキュリティ戦略の未来を形作るイベントをお見逃しなく。
Comments