ウィーバーアント攻撃検出：中国系グループが複数のWebシェルを使用してアジアの通信事業者を標的攻撃—China Chopperを含む

APT 中国のグループは、北朝鮮、ロシア、イランと並んでトップの世界的なサイバー脅威の中にランクインしており、攻撃能力が高まっていることを示し、サイバーセキュリティの状況に重要な課題をもたらしています。最近の発覚に続いて MirrorFace（別名 Earth Kasha）によるOperation AkaiRyū、中国のネクサス攻撃者が再び攻撃を仕掛けています。今回は、電気通信サービスプロバイダーのネットワークに数年間滞在してサイバー諜報活動を行うWeaver Antグループの長期間にわたる攻撃作戦についてセキュリティ研究者が報告しています。

Weaver Ant攻撃を検出する

地政学的緊張の高まりの中、国家支援の脅威アクターがその悪意ある活動を強化し、戦略的目標を達成するために高度な技術を使用しています。サイバー諜報活動が主要な焦点となり、作戦はますます標的を絞った秘密裡のものになっています。最近の例は、アジアの主要な通信プロバイダーに侵入するために洗練されたウェブシェル戦術を利用したWeaver Ant APT作戦です。この事件は、今日の地政学的状況におけるサイバー脅威の複雑さと精度の上昇を浮き彫りにしています。

新たな脅威に対抗し、Weaver Ant攻撃の可能性を確実に把握するために SOC Primeプラットフォーム は、脅威アクターのTTPに対応する関連するSigmaルールのセットを提供します。以下の 検出を探す ボタンを押して、専用ルールのセットを即座に深堀りしてください。

検出を探す

これらのルールは、複数のSIEM、EDR、およびデータレイクソリューションと互換性があり、脅威の調査を合理化するために MITRE ATT&CK® にマッピングされています。また、検出には、 CTI リンク、攻撃タイムライン、トリアージの推奨事項などの豊富なメタデータも付加されています。

国家支援のアクターが使用するTTPに関連するより多くの検出コンテンツを求めるセキュリティ専門家は、AI駆動の検出エンジニアリング、自動化された脅威ハンティング、高度な脅威検出のための完全な製品スイートに支えられたリアルタイムの脅威インテリジェンスを提供する「APT」タグを使用して脅威検出マーケットプレイスを探索し、広範な検出アルゴリズムのコレクションを確認できます。

Weaver Ant攻撃分析

中国関連のハッキンググループ Sygniaによって追跡された Weaver Ant は、アジアの主要なテレコムプロバイダーを狙った高度な has been observed employing advanced ウェブシェル 戦術を採用していることが観察されています。攻撃者は複数の排除努力に対して驚異的な持続力を示し、ネットワークに4年以上も浸透しました。彼らは未割当のORBネットワークを利用してトラフィックをプロキシし、そのインフラを隠すために、主に東南アジアの通信プロバイダーからのZyxel CPEルーターを侵害し、通信会社間の移動を可能にしました。

Weaver Antは、より高度なペイロードのためのチャネルとして基本的なウェブシェルを含む複数のペイロードを展開しました。これには、内部リソースへのアクセスを容易にするHTTPトンネルを行うための再帰トンネリングツールが含まれていました。後者は、さまざまなウェブ環境をスムーズにナビゲートし、運用の適応性を維持することを可能にしました。Weaver Antはまた、ラテラルムーブメントのためにウェブシェルを使用しました。Weaver Antはデータを検出されないようにスムーズに抽出するために、ポートミラーリングを使用した受身的なネットワークトラフィックキャプチャなどの防御回避方法を採用しました。独立したウェブシェルを使用する代わりに、Weaver Antは「ウェブシェルトンネリング」と呼ばれる技術を採用し、異なるネットワークセグメント間のサーバーを通じてトラフィックをルーティングし、隠れたC2ネットワークを作成しました。各シェルはプロキシとして機能し、暗号化されたペイロードをより深いネットワークの搾取のために中継します。さらに Weaver Ant はトロイ化されたDLLを展開し、システムに感染させました。

侵害を調査する研究者たちは、 China Chopper バックドアのいくつかのバリエーションと、ホストのメモリ内で直接ペイロードを実行する新しいカスタムウェブシェル「INMemory」を発見しました。攻撃者は、AES暗号化されたChina Chopperウェブシェルの反復を展開することでネットワークへのアクセスを取得し、リモートでサーバーを制御し、ファイアウォールの保護を回避しました。

China Chopperは、ファイル管理、コマンド実行、データ抽出などの高度な攻撃能力を提供します。そのコンパクトなサイズとステルス性は、持続的なアクセスを維持し、さらなる搾取を可能にし、従来のセキュリティシステムによる検出を回避させるのに適しています。その多様性と使いやすさにより、侵害されたシステム上でさまざまな悪意のある活動を行うための人気のツールとなっています。二番目のウェブシェル「INMemory」は、ハードコードされたGZipped Base64文字列をデコードし、’eval.dll’と呼ばれるポータブル実行形式(PE)に変換してメモリ内で完全に実行し、検出を回避します。

さらに、Weaver Antは、SMB共有およびしばしばNTLMハッシュで認証された長期間の高特権アカウントを使用してネットワーク内を横断しました。4年以上にわたり、構成ファイル、ログ、資格情報を収集し、環境をマッピングし、重要なシステムを狙いました。このグループは、ユーザーデータを盗むのではなく、ネットワークインテリジェンスおよび通信インフラへの継続的なアクセスに焦点を当てており、国家支援の諜報活動に沿っています。

Weaver Antの攻撃の高度な巧妙さと高度な検出回避技術の使用は、防御者からの超迅速な対応を必要とします。Weaver Antの非常に持続的な活動によるリスクを最小限に抑えるために、防御者は内部ネットワークトラフィック制御を実施し、IISおよびPowerShellの完全なログを有効にし、最小特権の原則を強制し、ユーザークレデンシャルを頻繁にローテーションすることを推奨しています。組織は、AIに支えられ、最新の技術を統合して、組織のサイバーセキュリティ体制をリスクに応じて最適化する SOC Primeの完全な製品スイート に依存することができます。