UAT-8302:中国のAPTグループがカスタムマルウェアを使用し、南米および欧州政府を標的にか
「UAT-8302」として追跡されている、中国に関連する高度なAPTグループが、南米および東南ヨーロッパの政府機関を積極的に標的にしています。このグループはカスタムメイドのマルウェアファミリーを活用し、他の中国関連ハッキンググループと連携しており、リソースと戦術の共有による複雑なネットワークを示唆しています。
**Cisco Talos** は、**UAT-8302** と名付けられたこの高度な持続的脅威(APT)グループの活動を追跡しています。このグループは、少なくとも2024年後半から南米の政府機関を、2025年には東南ヨーロッパの政府機関を標的にしています。侵入後の活動には、カスタムメイドのマルウェアファミリーの展開が含まれます。
### NetDraft バックドアと共有マルウェアアーセナル
UAT-8302 のツールキットの主要なコンポーネントは、**NetDraft**(別名 NosyDoor)として知られる .NET ベースのバックドアです。このマルウェアは、**FINALDRAFT**(別名 Squidoor)の C# バリアントであり、以前は **Ink Dragon**、**CL-STA-0049**、**Earth Alux**、**Jewelbug**、**REF7707** といった脅威クラスターに関連付けられていました。
**ESET** は、NosyDoor の使用を **LongNosedGoblin** と呼ばれるグループに帰属させています。興味深いことに、同じマルウェアがロシアのサイバーセキュリティ企業 **Solar** によって LuckyStrike Agent として追跡されている **Erudite Mogwai**(別名 Space Pirates および Webworm)によって、ロシアの IT 組織に対しても展開されています。
### 使用されるツール
UAT-8302 が利用するその他のツールには以下が含まれます。
* **CloudSorcerer**: 2024年5月以降、ロシアの組織を標的とした攻撃で観測されたバックドア。
* **SNOWLIGHT**: **UNC5174**、**UNC6586**、**UAT-6382** によって使用される **VShell** ステージャー。
* **Deed RAT**(別名 Snappybee):ShadowPad の後継。
* **Zingdoor**: Deed RAT と Zingdoor の両方が、2024年後半に **Earth Estries** によって展開されました。
* **Draculoader**: Crowdoor と HemiGate を配信するために使用される汎用シェルコードローダー。
### 連携とアクセスサービス
「UAT-8302 によって展開されたマルウェアは、以前に公開されたいくつかの脅威クラスターと関連付けており、少なくともそれらの間には緊密な運用関係があることを示唆しています」と **Talos** の研究者は述べています。「全体として、UAT-8302 によって展開された様々な悪意のあるアーティファクトは、このグループが他の高度な APT アクターによって使用されるツールにアクセスできることを示しており、それらはすべて、様々な第三者の業界レポートによって中国関連または中国語話者と評価されています。」
攻撃者が最初にアクセスを取得する方法は現在不明ですが、Web アプリケーションの zero-day および N-day の脆弱性を悪用することが疑われています。
ネットワーク内に侵入すると、攻撃者は広範な偵察を行い、自動スキャンに `gogo` のようなオープンソースツールを使用し、ラテラルムーブメントを実行します。これは、NetDraft、CloudSorcerer(バージョン 3.0)、および VShell の展開につながります。
UAT-8302 は、SNOWLIGHT の Rust ベースのバリアントである SNOWRUST を使用して、VShell ペイロードをダウンロードして実行することも観測されています。カスタムマルウェアに加えて、脅威アクターは Stowaway や SoftEther VPN のようなプロキシおよび VPN ツールを使用して、代替のバックドアアクセスを確立します。
**Trend Micro** は、「Premier Pass-as-a-Service」モデルを強調しており、Earth Estries によって取得された初期アクセスが Earth Naga に引き継がれ、後続の悪用が行われることで、属性の隠蔽努力をマスクする可能性があります。このパートナーシップは、少なくとも2023年後半から活動していると考えられています。
「Premier Pass-as-a-Service は、重要な資産への直接アクセスを提供し、偵察、初期の悪用、およびラテラルムーブメントのフェーズに費やす時間を短縮します」と **Trend Micro** は説明しています。「このモデルの全体的な範囲はまだわかっていませんが…アクセスは、少数の脅威アクターに限定されている可能性が高いです。」