最近、SQL サーバーや IIS Web サーバーのように、外部からアクセスできる脆弱なサーバーを対象に攻撃する侵害事例が頻繁に確認されている。
今回の事例で確認された被害企業は、半導体企業と AI を活用したスマート製造企業の合計2社である。ハッキング攻撃を実行した攻撃グループで、ハッキングツールの使用方法が書かれた中国語のテキストファイルが確認されたことから、暁騎営(シャオチーイン)や Dalbit のような中国ハッカーグループのものであると推定されている。
中国ハッカーグループのガイドライン
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f reg add “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe” /v “Debugger” /t REG_SZ /d “\”c:\windows\system32\cmd.exe\” /z” /f REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v UserAuthentication /t REG_DWORD /d 0 /f REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /v SecurityLayer /t REG_DWORD /d 0 /f !! 禁止强制名,以管理的身行cmd 行以下命令 Win2012 Can: \Easy File Locker (!!!注意:只需要予Access限,其他都不需要,切切) 除1. REG delete “HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Easy file Locker” /f C:/Users/Public/Documents/EFL/rule.ini 藏的定在此 cmd.exe /c reg add “HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /t REG_DWORD /v portnumber /d 3389 /f 1.reg add “HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” /t REG_DWORD /v portnumber /d 3389 /f \配置端口3389 reg add “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe” /v “Debugger” /t REG_SZ /d “\”c:\windows\system32\cmd.exe\” /z” /f |
攻撃者のサーバーおよび流出情報
現在確認されている攻撃者のサーバーは以下の通りである。
FRP 管理サーバー

攻撃者は被害を受けた企業のサーバーに FRP をインストールしていた。そのため、[図1]のページで FRP がインストールされた感染 PC と、攻撃者が使用するプロキシサーバーの情報を確認することができる。
FRP を利用した攻撃方法については、過去のブログ「Dalbit」APT グループと AhnLab TIP サービス「様々な遠隔操作ツールを悪用する攻撃事例の分析レポート(日本語なし)」に詳しく記述がある。
ファイルサーバー

このサーバーには CobaltStrike、VPN、Remote Control ハッキングツールなど、多数のログファイルが存在している。このログファイルは、[図2]のように番号で構成されたディレクトリ内に存在しており、窃取したログには資格証明情報とネットワーク情報、そして企業内部資料と推定される情報が存在する。


攻撃者のツール & IOC
攻撃者が使用したツールおよびサーバーで確認されたツールは以下の通りである。
Web シェル(WebShell)
Behinder
f8de2e99dc7523d2c83d1a48e844c5ff
77d507d30a155cf315f839db3bf507f7
Aspxspy
dd634ebfba56c1a898c4156ffdea146d
Godzilla
ed6ef17783c667c0c894e6cf7c71c54a
e5b626c4b172065005d04205b026e446
IceSword
a0301c680b257516090e336ca4e29167
資格証明窃取(Credential Access)
Mimikatz
825e6e194a9d5e12cbf109b7de07a244
6c9ad4e67032301a61a9897377d9cff8
bb8bdb3e8c92e97e2f63626bc3b254c4
29efd64dd3c7fe1e2b022b7ad73a1ba5
Impacket(Secretsdump)
a7b705e4fb473e7ce32a495b079017b2
ネットワークスキャニング(Network Scanning)
SharpHound
12c70eefa2edba8b420a6d00891c792b
c541c44f41d953899d5734dd1d3b1d78
PortScan
41b61b87cf54821a45e8cf2cbfc852f8
FScan
32421a007f28aacf869a46f714945ad0
持続性の維持(Persistence)
NSSM
beceae2fdc4f7729a93e94ac2ccd78cc
ラテラルムーブメント(Lateral Movement)
PSexec
421116e8b522898f9d8e1651a8315705
Impacket(WMIExec)
e663e4b83089087d0a7989365b3513c4
RemCom
6983f7001de10f4d19fc2d794c3eb534
プロキシおよび VPN ツール(Proxy and VPN Tool)
FRPC
7d9c233b8c9e3f0ea290d2b84593c842
2eead3e509a19002d80f48d431922f1e
FRPC INI(設定ファイル)
61616e8948de1bf2b62a34854d655dea
e5273f435c8eab59bc5dbaa5ac11da7b
VPN Gate
e74130971e6f3c3caf56d862a39e750f
PulseSecure
8f9da1466cb5415a45a512341549b12e
遠隔操作ツール(Remote Access Tool)
CobaltStrike
5e4fdc376f7dda3744bc331352bbe231
968931d2608f997866e07ce777b41636
2ad284b957ab28277fef534b3698c006
Ladon
006e7290fbae946551f07f6e0319d5de
b3b2c45aef41d94e7491d049d33c56c0
DameWare NT(Remote Control)
b10040dcd1583dadc4bf357eec22a18f
TeamViewer
b71d75f8f79e86add3fdece2c871e34c
ToDesk
7031441687a9548f1a7a08eb1e56f66b
ETC
note.txt(中国語ガイドラインファイルの原本)
a0ac0624926bfbbf196050783dfbc019
攻撃者の C2 サーバーはまだ接続できる状態であり、被害を受けた企業の情報が一部露出している。したがって、二次被害を防ぐためにこれを公開しない。
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報