チェック・ポイント・リサーチ(CPR)は3月9日、中国に関連するサイバー諜報活動「Silver Dragon」の詳細を明らかにした。その概要は以下のとおり。
APT41との関連性が疑われるこの活動は、正規のWindowsサービスを乗っ取ることで目立たない形で活動し、「GearDoor」と呼ばれるカスタムバックドアを使用して、Google Driveをコマンド&コントロール(C2)通信のチャネルとして利用する。
2024年半ばから活動しているこの作戦は、東南アジア地域およびヨーロッパの一部の政府機関や公共機関を標的としており、破壊活動よりもステルス性、持続性、長期的な情報収集を優先していることが特徴となっている。
◎東南アジアを中心に標的とし、ヨーロッパでも活動を確認:標的の大半は東南アジアに集中しているものの、ヨーロッパでも被害者が確認されている。また、ウズベキスタンの政府機関を標的としたフィッシングキャンペーンも確認されており、戦略的な国家情報の収集に重点が置かれていることを示している。
◎2つの手法による初期アクセス:Silver Dragonは、インターネットに公開されたサーバーの悪用とメールベースのフィッシング攻撃という2つの手法を用いて侵入を行っている。これにより、公開インフラを持つ組織やメールへの依存度が高い組織の双方に対して攻撃を成功させている。この2つの攻撃ベクトルを組み合わせたアプローチにより、公共機関の攻撃対象領域が大幅に拡大している。
◎正規のWindowsサービスを悪用したステルス型の永続化:Silver Dragonは、明らかに悪意あるサービスを展開するのではなく、正規のWindowsサービスを悪用し、正規サービスの名前で悪意あるコードを読み込む。これにより、マルウェアは通常のシステム動作に紛れ込み、大規模企業や政府機関の環境において検知を大幅に困難にする。
◎革新的なクラウドベースのC2:このキャンペーンの中核となるのは、Google DriveをファイルベースのC2チャネルとして使用するカスタムバックドア「GearDoor」。感染したマシンは専用のクラウドフォルダーを作成し、一見通常のファイルに見えるファイルを介して、暗号化された指令と実行結果をやり取りする。Google Driveのトラフィックは一般的に許可され信頼されているため、悪意ある活動は正当なクラウド利用に自然に紛れ込む。これは、防御側が「無害」とみなしてきたSaaSトラフィックをどのように捉えるべきかについて、再考を迫るものとなっている。
◎高度なポストエクスプロイテーション監視機能:Silver Dragonは、「SilverScreen」と呼ばれるステルス型の画面監視インプラントを展開する。このツールは、画面上に意味のある変化が生じた場合のみスクリーンショットを取得するもので、システムへの影響を最小限に抑えながら長期的なユーザー監視を可能にする。これにより、短期的なアクセスではなく継続的な情報収集を実現する。
◎LotL手法による正規ツールの悪用と実績あるフレームワーク:複数の感染チェーンを通じて配備される最終ペイロードはCobalt Strikeビーコンを展開し、多くの場合はDNSトンネリングやHTTPを介して通信する。また、場合によっては内部ネットワーク内でSMBを通じて通信することで、悪意あるトラフィックをさらに隠蔽する。カスタムローダー、正規のOSコンポーネント、そして広く悪用されているレッドチーミングツールを組み合わせる手法は、これが成熟し十分なリソースを備えた諜報活動であることを示している。
サイバーセキュリティの防御担当者にとってSilver Dragonは、リスクがもはや明らかに悪意あるインフラストラクチャだけから生じるものではないことを示している。代わりに、OSの主要サービスや信頼されたクラウドプラットフォームが密かに悪用されることで、潜伏時間が延長され、従来の境界防御を回避することが可能になる。
関連リンク