エッジアプライアンスへの攻撃キャンペーン：2021年以降検出されず、ファームウェア更新にも抵抗

接続されたデバイスによるエッジコンピューティングのセキュリティを表すモデル。 — 画像: ArtemisDiana/Adobe Stock

Mandiantの新しい調査文書によると、新たなマルウェアは複数のbashスクリプトと、TinyShellバックドアの亜種と特定された単一のELF（実行可能およびリンク可能形式）バイナリファイルで構成されています。Tinyshellは、複数の脅威アクターによって使用されている公開ツールです（図A）。

図A

マルウェアのメインプロセスは「firewalld」と呼ばれるファイルで、このファイルはTinyShellバックドアを実行します。このファイルは、脅威アクターにリバースシェルを提供するためのパラメータを備えています。リバースシェルは、スクリプトで指定された日時にC2サーバーを呼び出します。TinyShellバイナリの呼び出し時にIPアドレスが指定されていない場合、ハードコードされたIPアドレスが埋め込まれます。

「firewalld」ファイルのコピーである「iptabled」は、クラッシュや終了が発生した場合でも主要なマルウェアの継続性を確保するため、改変されていました。2つのスクリプトは、片方がまだ実行されていない場合にもう片方を起動するように設定されており、これにより主要なマルウェアプロセスのバックアップインスタンスが作成され、その回復力が向上しました。

「firewalld」プロセスは、攻撃者の長期的なアクセスを容易にすることを目的とした「rc.local」という起動スクリプトによってブート時に起動されます。

「ifconfig6」というファイルも安定性向上のために使用されています。メインの「firewalld」プロセスは、「firebased」という正規のSonicWallバイナリに小さなパッチを追加し、シャットダウン文字列を「ipconfig6」スクリプトの呼び出しに置き換えます。Mandiantの研究者は、攻撃者が「firebased」スクリプトがインスタンスをシャットダウンする際に問題に遭遇し、パッチを適用するための小さなスクリプトを作成しようとしたのではないかと推測しています。

すべての設定が完了すると、マルウェアの最終目標は、ログインしているすべてのユーザーのハッシュ化された認証情報を取得するSQLコマンドを定期的に実行することです。攻撃者はこれらのハッシュを取得し、オフラインで解読することができます。

ファームウェアアップデートが変更されました

感染デバイス上で発見された「geoBotnetd」というBashスクリプトは、/cf/FIRMWARE/NEW/INITRD.GZにファームウェアアップグレードがないか10秒ごとに確認します。アップグレードが存在する場合、スクリプトはファイルをバックアップし、解凍してマウントし、マルウェアファイルのパッケージ全体をコピーします。また、「acme」というバックドア付きルートユーザーをシステムに追加します。その後、マルウェアはすべてのファイルを再圧縮し、元の場所に戻します。

この手法はそれほど洗練されていないものの、このような手法を作成して展開するにはファームウェアのアップグレードプロセスに関する確かな知識が必要であるため、攻撃者がアクセスを長期的に維持することにどれほど熱心であるかがわかります。

マンディアントの研究者は、この手法は中国政府の主要な優先事項を支援するものとして分析した別の攻撃キャンペーンと一致していると指摘している。

サイバースパイ活動目的の長期にわたるキャンペーン

この攻撃キャンペーンにおける主な感染ベクトルは不明ですが、Mandiant の研究者は、このマルウェアまたはその前身が 2021 年に導入された可能性が高く、脅威の攻撃者はファームウェアの複数回のアップデートを経てもアクセスを維持していた可能性が高いと指摘しています。

このマルウェアの唯一の目的はユーザーの認証情報を盗むことであるため、この攻撃キャンペーンはサイバースパイ活動を目的としたものであると強く疑われます。

Mandiantは、管理対象アプライアンスを狙ったマルウェアの開発は容易ではないと主張しています。ベンダーは通常、そのようなデバイスのオペレーティングシステムやファイルシステムへの直接アクセスを提供していないためです。そのため、これらのデバイスを狙ったエクスプロイトやマルウェアの開発はより困難になっています。