APT15として追跡されている中国国家支援のハッキンググループは、2022年末から2023年初めにかけて新たなキャンペーンで「Graphican」という名前の斬新なバックドアを使用していることが観察されている。
Nickel、Flea、Ke3Chang、Vixen Panda としても知られる APT15 は、少なくとも 2004 年以来、世界中の重要な官民組織を標的とする中国国家ハッカーです。
このグループは、RoyalCLI や RoyalDNS 、 Okrum 、 Ketrum 、 SilkBeanやMoonshineという Android スパイウェアなど、さまざまなマルウェア インプラントやカスタム バックドアを長年にわたって使用してきました。
本日、ブロードコムの一部であるシマンテックの脅威ハンター チームは、APT15 の最新のキャンペーンが中南米諸国の外務省を標的にしていると報告しました。
新しいグラフィアンバックドア
研究者らは、新しいGraphicanバックドアはゼロから作成されたツールではなく、ハッカーが使用した古いマルウェアの進化版であると報告している。
Microsoft Graph API と OneDrive を使用してコマンド アンド コントロール (C2) インフラストラクチャのアドレスを暗号化された形式で密かに取得することで注目に値し、多用途性とテイクダウンに対する耐性を与えています。
感染したデバイス上の Graphican の動作には次のものが含まれます。
- レジストリ キーを使用して、Internet Explorer 10 の初回実行ウィザードとようこそページを無効にします。
- 「iexplore.exe」プロセスがアクティブかどうかを確認します。
- インターネット アクセス用のグローバル IWebBrowser2 COM オブジェクトを構築します。
- Microsoft Graph API を使用して、有効なアクセス トークンとfresh_token を認証します。
- Graph API を使用して、「人」OneDrive フォルダー内の子ファイルとフォルダーを列挙します。
- C&C サーバーとして使用するために最初のフォルダーの名前を復号化します。
- ホスト名、ローカル IP、Windows バージョン、デフォルトの言語識別子、プロセス ビット数 (32/64 ビット) を使用して、一意の Bot ID を生成します。
- 収集した被害者のコンピュータ データを埋め込んだ特定の形式文字列を使用して、ボットを C&C サーバーに登録します。
- 実行する新しいコマンドがないか C&C サーバーを定期的にチェックします。
コマンド アンド コントロール サーバーに接続すると、脅威アクターは、プログラムの起動や新しいファイルのダウンロードなど、感染したデバイス上で実行するさまざまなコマンドを送信する可能性があります。
C2 が Graphican による実行のために送信できるコマンドの完全なリストは次のとおりです。
- ‘C’ — C&C サーバーから制御される対話型コマンド ラインを作成します。
- ‘U’ — リモート コンピューター上にファイルを作成します
- ‘D’ — リモート コンピューターから C&C サーバーにファイルをダウンロードします。
- ‘N’ — 非表示のウィンドウを使用して新しいプロセスを作成します
- ‘P’ — 非表示ウィンドウを使用して新しい PowerShell プロセスを作成し、結果を TEMP フォルダーの一時ファイルに保存し、結果を C&C サーバーに送信します。
シマンテックの研究者が APT15 の最新のキャンペーンで観察したその他のツールは次のとおりです。
- EWSTEW – 感染した Microsoft Exchange サーバーから電子メールを抽出するカスタム APT15 バックドア。
- Mimikatz、Pypykatz、Safetykatz – Windows シングル サインオンを利用してメモリからシークレットを抽出する、公開されている資格情報ダンピング ツール。
- Lazagne – 複数のアプリケーションからパスワードを取得できるオープンソース ツール。
- Quarks PwDump – さまざまな種類の Windows 資格情報をダンプします。 2013 年から記録されています。
- SharpSecDump – Impacket の Secretsdump.py の .Net ポート。リモート SAM および LSA シークレットのダンプに使用されます。
- K8Tools – 権限昇格、パスワードクラッキング、スキャン、脆弱性利用、およびさまざまなシステムエクスプロイトを特徴とするツールセット。
- EHole – 脆弱なシステムの識別。
- Web シェル – AntSword、Behiner、China Chopper、Godzilla 。ハッカーに侵害されたシステムへのバックドア アクセスを提供します。
- CVE-2020-1472 エクスプロイト– Netlogon リモート プロトコルに影響を与える特権昇格の脆弱性。
結論として、APT15 の最近の活動とそのカスタム バックドアの更新は、中国のハッカー グループが依然として世界中の組織にとって脅威であり、そのツールを改良し、その活動をよりステルス化することに取り組んでいることを示しています。
特定の脅威グループは、最初の感染ベクトルとしてフィッシングメールを使用します。ただし、インターネットに公開された脆弱なエンドポイントを悪用し、最初のアクセス ベクトルとして VPN を使用することでも知られています。
Comments