チェック・ポイント・リサーチは、中国政府が支援するAPT攻撃グループ「Camaro Dragon」の活動を暴露する新たなレポートを発表しました。この攻撃グループは、カスタムインプラントを用いて特定のTP-Linkルーターモデルに侵入し、情報を窃取するだけでなく、攻撃者にバックドアアクセスを提供します。
このレポートでは、このサイバー攻撃に関する追加の技術的詳細、影響を受ける人、このセキュリティ脅威を検出して防御する方法などについて説明します。
ジャンプ先:
- TP-Linkルーターのファームウェアに「Horse Shell」インプラントが発見される
- カマロドラゴンとマスタングパンダの絆
- ルーターインプラントの脅威が増大
- この脅威を検出し、防御する方法
TP-Linkルーターのファームウェアに「Horse Shell」インプラントが発見される
研究者らはカマロドラゴンの分析中に、攻撃に使用された多数のファイルを発見しました。そのうち2つは、2014年頃にリリースされたWR940ルーターモデルのTP-Linkファームウェアイメージでした。これらの埋め込みファイルは、主に欧州外務省関連機関を標的とした攻撃キャンペーンで発見されました。
Check Point は、これらのファイルを TP-Link WR940 ルーターの正規のファームウェア イメージと比較することで、ファイル システムが変更され、ファームウェアに 4 つのファイルが追加され、悪意のあるインプラントを実行するために 2 つのファイルが変更されたことを発見しました (図 A )。
図A
最初の発見により、攻撃者がファームウェアから SoftwareUpgradeRpm.htm 正規ファイルを変更したことが明らかになりました。このファイルはルーターの Web インターフェイスからアクセスでき、手動でファームウェアをアップグレードできます (図 B )。
図B
変更されたバージョンのページではファームウェア アップグレード オプションが完全に非表示になるため、管理者はアップグレードできなくなります (図 C )。
図C
2つ目の発見は、オペレーティングシステムの起動スクリプトの一部であるファイル/etc/rc.d/rcSの改変です。攻撃者は、ファームウェアのファイルシステムに追加した3つのファイルの実行権限を付与し、オペレーティングシステムが再起動するたびに実行されるようにしました。これにより、侵害されたルーター上でのインプラントの永続化が確保されました。
スクリプトによって起動時に実行されるファイルの一つが/usr/bin/shellです。このファイルはポート14444でパスワード保護されたバインドシェルであり、適切なパスワードを入力することでアクセス可能です。ファイルをざっと調べたところ、パスワード(J2)3#4G@Iie)が平文でファイルに保存されていることがわかりました。
別のファイル /usr/bin/timer は、/usr/bin/udhcp が実行中であることを確認するという唯一の役割があり、このファイルが主なインプラントであるため、攻撃者にとって追加の永続性レイヤーを提供します。
主な悪意ある埋め込みプログラムは/usr/bin/udhcpで、Check Point ResearchはHorse Shellと名付けています。この名前はファイルの内部データに由来しています。システム上でデーモンとしてバックグラウンドで実行され、リモートシェル、ファイル転送、トンネリングという3つの機能を提供します。
最後のファイルである/usr/bin/sheelは、デバイスの別のパーティションに保存されているC2設定の書き込みと読み取りを担当しています。データはブロックデバイスから直接読み書きされるため、管理者による検出や発見を回避できることは明らかです。
udhcp インプラントが実行されると、ユーザー名とシステム名、オペレーティング システムのバージョンと時刻、CPU アーキテクチャと CPU の数、RAM の合計、IP アドレスと MAC アドレス、インプラントでサポートされている機能 (リモート シェル、ファイル転送、トンネリング)、アクティブな接続の数などのデータが収集され、C2 サーバーに送信されます。
Check Point Research によると、マルウェアが CPU アーキテクチャとサポート機能に関連するデータを脅威の攻撃者に送信するという事実は、攻撃者が異なるデバイスと異なる機能セットをサポートする他のバージョンを持っている可能性があることを示唆しています。
このマルウェアは、ポート80でHTTPプロトコルを用いてC2サーバーと通信し、コンテンツを独自の暗号化方式で暗号化します。デバイスは通常、ネットワーク通信にこのプロトコルを使用し、ポート80は通常ファイアウォールでブロックされないため、この方法を用いることでデータの送信が保証されます。また、このHTTPコンテンツには、研究者が中国のウェブサイトのコーディングフォーラムやリポジトリで発見した特定のハードコードされたヘッダーが含まれており、中国固有の言語コードzh-CNが含まれています。さらに、コード内のタイプミスから、開発者は英語を母国語としていない可能性が示唆されます。
トンネリング機能により、攻撃者はノードのチェーンを構築することができ、各ノードは侵害されたデバイスとなります。各ノードは前後のノードに関する情報しか持っていないため、攻撃者はインプラントとの通信に複数の異なるノードを使用する可能性があり、追跡が困難になります。また、1つのノードが突然削除された場合でも、攻撃者はチェーン内の別のノードを経由してトラフィックをルーティングすることができます。
カマロドラゴンとマスタングパンダの絆
Check Point Researchは、このマルウェアが中国のコーディングフォーラムでのみ発見されたコードを使用していること、およびHTTPヘッダーにzh-cn言語パラメータを使用していることを指摘しています。また、研究者らは、攻撃者が使用した多種多様なツールを発見したことにも言及しており、その中には中国政府が支援する脅威アクターと共通するツールも含まれています。
このグループの活動は、中国政府が支援する別のAPT脅威グループ「Mustang Panda」と大きく重複しています。チェック・ポイントが観測した最も大きな重複は、Camaro DragonがMustang Pandaと同じIPアドレスをC2サーバーに使用していることです。しかし、その他の非公開要素から、研究者は「Camaro DragonとMustang Pandaの間に大きな重複があることを示唆する十分な証拠があるものの、残念ながら、これが完全に重複している、あるいは両者が全く同じグループであるとは言えません」と述べています。
Horse Shellの場合、特にCamaro DragonとMustang Pandaの関連性を考えると、他の脅威アクターがこれを利用する可能性は十分にあります。Mustang Pandaが将来、独自の攻撃活動にこれを利用する可能性さえあります。
ルーターインプラントの脅威が増大
ルーターインプラントは、高度な開発スキルを必要とするため、攻撃者にとってあまり人気がありません。Horse Shellのケースでは、MIPS32ベースのオペレーティングシステムに関する高度な知識が必要でした。また、実際の攻撃に展開する前にコードを開発・テストするために、1台または複数のルーターを所有している必要もありました。
一方、ルーターなどのデバイスは監視が厳しくなく、侵入される可能性も低いとされています。近年、ルーターへの感染が報告されています。
2018 年、Slingshot APT により、攻撃者は Mikrotik ルーターの脆弱性を悪用してマルウェアを埋め込み、ルーター管理者を感染させて攻撃を進めることになりました。
2021年、フランス政府のコンピュータ緊急対応チーム(CERT-FR)は、中国の脅威アクターAPT31(別名Judgment PandaまたはZirconium)が、主にPakedge、Sophos、Cisco製の小規模オフィス/ホームオフィス向けルーターを侵害して利用していたことを報告しました。CERT-FRは、攻撃キャンペーン中に攻撃者が使用した約1,000件のIPアドレスを発見しました。
2022年、正体不明だが国家の支援を受けている可能性のある脅威アクターによって使用されたZuoRATマルウェアが、ASUS、Cisco、DrayTek、NetgearのSOHOルーターを標的にしました。
2023年、Hiatusマルウェアが米国とヨーロッパを襲撃し、製薬会社やITサービス企業、コンサルティング会社、政府機関など、主に中規模組織で使用されているDrayTekのルーターを標的にしました。
先月、ロシアの脅威アクターAPT28(別名Fancy Bear、Strontium、Pawn Storm)がCiscoルーターの脆弱性を悪用し、米国政府機関や欧州およびウクライナのその他の組織を標的にしました。
チェック・ポイント・リサーチの専門家は、ルーターの侵害について懸念を表明し、「このような機能や種類の攻撃は、中国系の脅威アクターの一貫した関心と焦点となっている」と書いている。
この分野の専門家は、ルーターの侵害が今後増加すると予想しています。
この脅威を検出し、防御する方法
Check Pointは、HTTPネットワーク通信を確認し、マルウェアが使用する特定のHTTPヘッダーを探すことを強く推奨しています。これらのヘッダーは中国語圏のコーディングフォーラムで共有されているため、Camaro Dragon以外の脅威アクターによる攻撃を示唆している可能性もあります。
WR940 ルーター デバイス上の TP-Link ファイル システムで、報告されたファイルの存在と既存ファイルの変更を確認する必要があります。
ルーターに変更されたファームウェアをインストールする最初の感染は不明であるため、一般的な脆弱性を悪用する攻撃者による侵害を回避するために、常にパッチを展開し、すべてのソフトウェアとファームウェアを最新の状態に保つことを強くお勧めします。
一部のルータはデフォルトの認証情報で設定されており、この認証情報は公開されており、誰でもそれを使用してルータにログインできるため、攻撃者が簡単にログインできないように、このようなデバイスのデフォルトの認証情報を変更することをお勧めします。
ルーターのリモート管理は内部ネットワークからのみ実行する必要があります。インターネットからはアクセスできません。
ルーターのアクティビティを監視し、ログで異常や疑わしいアクティビティ、不正なアクセスの試みがないか確認することをお勧めします。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
