アンラボと国家サイバーセキュリティセンター(National Cyber Security Center、以下 NCSC)は、2023年から近年まで TA-ShadowCricket グループの活動を分析した報告書を公開した。
報告書全文 : (APTグループ追跡報告書) TA-ShadowCricket_2025.05.23.pdf(韓国語のみ提供)
アンラボは、2024年11月から NCSC と共に不正な IRC サーバーと関連マルウェアを分析し、未識別の脅威行為者である Larva-24013 に割り当てて追跡しており、彼らが既存の Shadow Force グループと関連していることを確認した。アンラボは「脅威行為者分類システムと命名法」により脅威行為を4段階で管理しており、脅威行為者を未識別の脅威行為者(Larva)と識別された脅威行為者(Arthropod)に分類する。これによりアンラボの脅威行為者分類システムと命名法により、識別された脅威行為者である TA-ShadowCricket として新たに命名した。
TA-ShadowCricket グループ
2012年から韓国を含むアジア太平洋地域諸国で活動しており、主に外部に公開されている Windows サーバーのリモート接続機能や MS SQL サーバーを侵入し、IRC ボットやバックドアをインストールし、管理していた。
TA-ShadowCricket の一部のマルウェアやツールには、製作者と関連しているものと見られるキーワードである「Melody」、「Syrinx」、「WinEggDrop」が含まれている。
IRC サーバーの分析
現在でもこのグループは同じドメイン名の IRC サーバーを運営しており、そのドメインには現在韓国の IP が接続されている。アンラボと NCSC は 、IRC サーバーがインストールされ、C&C サーバーとして使用されているシステムを確保し、これを分析した結果、全世界72カ国、2,000台余りの被害 IP を確認した。
IP 基準、国別分布は中国895台、韓国457台、インド98台、ベトナム94台、台湾44台、ドイツ38台、インドネシア37台、タイ31台、アメリカ25台等、合計72カ国に所在する機器を対象に IRC ベースのボットネットを構築した状況が確認された。
2020年7月から2025年2月まで RDP で接続し、システムを操作しており、このうちの一部は中国に所在する IP から接続したものと確認された。
マルウェアとツール
10年以上の活動期間の間に様々なマルウェアとツールが識別されており、一部のマルウェアとツールは活動時期により変更される様子が見られたが、持続的に使用されてきたマルウェアとツールも存在する。
TA-ShadowCricket グループがシステム侵害後に使用したマルウェアとツールは段階別に区分される。
侵害後にマルウェアをインストールし、運用する段階は大きく3段階に分けて見ることができる。
Stage1 はマルウェアをダウンロードおよびインストールするプロセスであり、ダウンローダー、コマンド実行ツールが使用される。Stage 2 は主に Backdoor 類をインストールし、Stage 3 はさらなる不正な振る舞いのためのマルウェアインストールに分けられる。
2023年から現在まで利用中のマルウェアおよびツールは以下の通りである。
段階 タイプ 期間 名前 主要機能 Stage 1 2023 ~ Upm 権限昇格、システム情報の収集、追加マルウェアのダウンロードおよびインストール 2023 ~ SqlShell 権限昇格、システム情報の収集、追加マルウェアのダウンロードおよびインストール ダウンローダー 2024 Downloader FTP からバックドア ダウンロード ファイル パッチ 2014 ~ Pemodifier 持続性維持のための正常実行ファイルパッチ Stage 2 バックドア 2021 ~ Maggie リモートコマンド実行 バックドア 2012 ~ Wgdrop IRC ボット。リモートコマンド実行 バックドア 2019 ~ 2024 Sqldoor リモートコマンド実行 Stage 3 情報収集 2023 ~ CredentialStealer クレデンシャル窃取 フッキング 2024 ~ Detofin Detour を使用して特定の API フッキング コインマイニング 2021 ~ Miner コインマイニング スキャナー 2023 ~ MaggieScan 脆弱な MS-SQL サーバーを探してくれるスキャナー アカウント 2021 ~ ShadUser アカウント管理および情報収集 ツール 2024 AddPath Windows Defender 例外パスの追加 ネットワーク 2021 ~ Fport / Mport ポートマッピング
モニタリングおよび追加マルウェアインストール
モニタリングおよび追加マルウェアインストール
攻撃者は Windows 実行ファイルをパッチするツールである Pemodifier を利用し、システムの運用に必要なファイルを改竄して不正な DLL ファイルをロードする。このツールのファイル名は iat.exe または iatinfect.exe である。
バックドアの役割を担う Shadowforce マルウェアは 2021年から徐々に Maggie マルウェアに変わりつつあるが、現在もファイル名は依然として ntuser.dat をよく使用している。ユーザー追加、RDP 設定変更など、他の機能を持つツール名には re.0001 ファイル名を使用する。
多くのバックドアが指定された C&C サーバーに接続し、コマンドを受け取る形式であるが、TA-ShadowCricket グループのバックドアは固定された C&C サーバーが存在しない。
Shadowforce マルウェアは、パケットキャプチャライブラリである WinPcap をインストールし、特定の信号(Magic Sequence)を含んだネットワークパケットを通じてバックドアが有効化される。Maggie マルウェアは MS SQL サーバーがサポートする Extended Stored Procedure (ESP)で作成されており、SQL クエリで制御することができる。
一部の被害システムでは、キーロガー、クレデンシャル窃取、仮想資産マイナー(Miner)のインストールも確認された。
結論
TA-ShadowForce グループは 10年以上韓国を拠点にアジア地域で活動している。攻撃者は同じファイル名のマルウェアとツールを持続的に使用するなど、既存の攻撃の慣性をそのまま維持している。
それにもかかわらず、セキュリティ企業や機関がこの脅威グループについてあまり取り扱っておらず、情報が依然として不足している状況である。
TA-ShadowCricket グループは、侵害後に金銭を要求せず、盗んだ情報をダークウェブにも公開せず、13年以上にわたり静かに活動している。
感染システムの操作を行う C2 サーバーおよび数千の IP の被害システムを現在まで持続的に管理している。これは、今後 DDoS のような攻撃のためのインフラ確保とも見ることができる。
使用されるツールおよび製作者、主要な被害地域、中国の IP から C&C サーバーの管理目的で接続など、いくつかの状況から中国との関連性はあると見られるが、マルウェア内に自分のニックネームを残すなど、最近マイナーをインストールする、などの状況は、国家レベルの支援を受けている APT グループと見るには疑問を抱かせる。
今回の合同分析により、TA-ShadowCricket グループは依然として IRC ボットを利用し、侵害システムを管理しているという事実が確認された。
IRC サーバーの分析により、2000台以上のボットを運営中であることが把握され、いつ発生するかわからない被害の拡散を防ぐため、この IRC サーバーの遮断およびこのマルウェアの治療と無力化が必要である。