• TTP（サイバー攻撃者の振る舞い、戦術（Tactics）・技術（Techniques）・手順（Procedures）） はこれまで、Kelp、Space Pirates、APT41 などの複数の中国の攻撃者に関連付けられてきました。
• APT41は、最も長く活動している中国の諜報グループの一つです。
• 攻撃者はネットワーク上で持続的かつステルス的な存在を確立することを目指しており、2025年4月に数週間にわたりアクセスを獲得しました。

中国とつながりのある攻撃者は、国際問題に関する米国政府の政策に影響を与えようと積極的に活動している米国の非営利団体への今年初めの侵入を含め、政策問題に関係または関与している米国の組織に引き続き関心を示している。

脅威アクターは、2025年4月に数週間にわたってネットワークにアクセスした際に、永続性を確立し、ネットワークへの長期的なアクセスを維持しようと決意していたようです。正規のvetysafe.exeコンポーネントを使用して悪意のあるDLL（sbamres.dll）をサイドロードするなど、さまざまな手法の証拠から、攻撃者は中国を拠点としていることがわかります。この悪意のあるDLLのコピーは、Space Piratesとして知られる中国を拠点とする脅威アクターに関連する攻撃で以前に使用されていました。このコンポーネントの異なるファイル名の亜種は、別のインシデントで中国のAPTグループKelp（別名Salt Typhoon）によっても使用されました。さらに、この手法は、長年活動している中国の脅威グループAPT41のサブグループであると考えられているEarth Longzhiによっても使用されました。

ここで攻撃者は、標的のネットワーク上でImjpuexcも使用しました。これは、中国語、日本語、韓国語などの東アジア言語のスクリプトからのキーボード入力を可能にするために使用される正規の Microsoft ファイルです。

攻撃チェーン

最初の悪意のあるアクティビティは 2025 年 4 月 5 日に発生し、Atlassian OGNL インジェクション (CVE-2022-26134)、Log4j (CVE-2021-44228)、Apache Struts (CVE-2017-9805)、 GoAhead RCE (CVE-2017-17562) など、さまざまなよく知られたエクスプロイトを試行するサーバーに対して大量スキャンが実行されました。

その後、4月16日まで活動に空白期間がありましたが、その日にネットワーク上で攻撃者の活動が活発化しました。

現地時間午前 1 時 21 分に、いくつかの疑わしいcurlコマンドが実行されました。

curl -I -k “https://www.google.com”

curl -I -k “https://www.google.com”

curl -I -k “https://www.google.com”

curl -I -k “https://www.microsoft.com”

curl -I -k “https://www.bing.com”

curl -I -k “ httos ://192.0.0.88”

カール -I -k “https://192.0.0.88”

カール -I -k 192.0.0.88:443

curl -I http://www.goog.elcom

curl -I http://www.google.com

curl -I http://www.google.com

これらは、攻撃者が関心を持っている可能性のある社内システムにpingを実行する前に、インターネット接続をテストするために使用されました。攻撃者は、関心を持っていると思われるシステム（192.0.0.88）への接続を複数の方法で試みました。最初はHTTPS経由で接続を試み、次にポート443経由で接続を試み、最後にgoogle.comへのpingを実行しました。これらの様々な方法を試したことから、攻撃者は標的のマシンへの接続に何らかの問題を抱えていた可能性が示唆されます。

この最初の活動の直後、攻撃者はWindowsのコマンドラインツールnetstatを実行し、ネットワーク構成情報を収集しました。これは、アクティブな接続とそれに関連するプロセスをすべて一覧表示するために使用されました。攻撃者は主にTCP接続に関心を持っていたと考えられます。伝送制御プロトコル（TCP）は、アプリケーションプログラムとコンピューティングデバイスがネットワークを介してメッセージを交換できるようにする通信規格です。

次に、攻撃者は、永続性を確保するためにスケジュールされたタスクを作成しました。

schtasks /create / tn \Microsoft\Windows\Ras\Outbound /tr "CSIDL_WINDOWS\microsoft.net\framework\v4.0.30319\msbuild.exe c:\programdata\microsoft\rac\outbound\outbound.xml" / sc分 /月60 / ruシステム

次に、正規バージョンの msbuild.exe を使用して、不明な xml ファイルの内容を起動および実行しました。このファイルは、おそらく次のファイルの起動に使用されました。

csidl_profile \documents\ msoutbound

schtaskコマンドは、「\Microsoft\Windows\Ras\Outbound」という新しいスケジュールタスクを作成するために使用されました。このタスクは、高権限のSYSTEMユーザーとして60分ごとに実行されるように設定されていました。これは、永続化と以下のコマンドの実行に使用されました。

"CSIDL_WINDOWS\microsoft.net\framework\v4.0.30319\msbuild.exe" CSIDL_COMMON_APPDATA\ microsoft \ rac \outbound\outbound.xml

msbuild.exe が起動された後、未知の outbound.xml ファイルの内容が実行され、次にそれが使用されて未知のコードが csc.exe にロードされ、挿入され、悪意のあるコマンド アンド コントロール サーバー (C&C) に接続したことが確認されました。

hxxp://38.180.83[.]166/6CDF0FC26CDF0FC2

その後、午前 2 時 50 分に、カスタム ローダー (SHA256: f52b86b599d7168d3a41182ccd89165e0d1f2562aa7363e0718d502b7e3fcb69) が実行され、コマンド ラインで暗号化されたファイルが渡され、復号化されてメモリにロードされました。

CSIDL_SYSTEMX86\msascui.exe Microsoftランタイム 

ペイロードは分析に利用できませんでしたが、攻撃者がリモートアクセスツール（RAT）をロードするために使用した可能性が高いと考えられます。これが成功したかどうかは不明です。

さらに、攻撃者は正規のVipreAVコンポーネント（vetysafe.exe）をDLLサイドローディングに利用し、ローダー（sbamres.dll）をインストールしていました。この手法は、Space PiratesやEarth Longzhi （APT41のサブグループ）など、中国関連の脅威アクターによって以前にも使用されていました。VipreAVコンポーネントは「 Sunbelt Software, Inc.」によって署名されていました。DLLサイドローディングとは、攻撃者がWindowsのDLL検索順序メカニズムを利用して、悪意のあるDLLペイロードを実行する正規のアプリケーションを埋め込み、起動させる手法です。

このコンポーネントは、中国関連とされるリモートアクセス型トロイの木馬であるDeed RAT（別名Snappy Bee）と組み合わせて、以前にもDLLサイドローディングに使用されていました。これはKelp （別名Salt Typhoon、Earth Estries ）によるものとされています。Deed RATは、複数の中国系グループによって共有されていると考えられています。

ケルプが世界的に注目を集めたのは、 2024年の米国大統領選挙を前に、複数の米国通信会社のネットワークに侵入し、民主党と共和党の両陣営の通信を傍受していたことが明らかになった2024年のことでした。この活動は、発覚まで最大2年間にわたって継続されていたとみられるキャンペーンの一環であり、ヨーロッパ諸国を含む数十カ国に影響を与え、あるいは標的としていました。

APT41は最も長く続いている中国のスパイ活動の一つである Earth Longzhiは、複数のサブグループから構成されていると考えられており、Threat Hunter TeamがBlackfly、 Grayfly 、 Redflyとして追跡しているグループも含まれます。Earth Longzhiは、2022年にトレンドマイクロによって初めて公開されましたが、同グループの活動は2020年から記録されていました。当時、トレンドマイクロは、同グループが台湾、中国、タイ、マレーシア、インドネシア、パキスタン、ウクライナの被害者を標的にしていたと述べていました。Space Piratesは、少なくとも2017年から活動していると考えられている中国関連の脅威アクターであり、ロシア企業への攻撃を実行していることで知られています。

Dcsyncの可能性のあるバージョンが存在していました。Dcsync は、MS ディレクトリ レプリケーション サービス リモート プロトコル (MS-DRSR) を介して別のドメイン コントローラからユーザー資格情報を取得するために、ドメイン コントローラ (DC) を装うために使用されるツールです。

[ i ] dcsync : DS レプリケーション エポックは %u です

[x] dcsync : ProcessGetNCChangesReplyでエラーが発生しました

[x] dcsync : DRSGetNCChanges 、無効なdwOutVersion (%u)および/またはcNumObjects (%u)

[x] dcsync : GetNCChanges : 0x%08x (%u)

[x] dcsync : RPC例外0x%08x (%u)

Imjpuexcツールは4月16日にも標的ネットワーク上で確認されました。これは、このマシン上で確認された最後の攻撃者の活動であり、その後、すべての活動は完全に停止しました。

中国の脅威アクターは依然として活動中

この被害者の活動から、攻撃者はネットワーク上で持続的かつステルス的な存在を確立することを目指していたことが明らかです。また、ネットワーク上の多くのマシンに拡散する可能性のあるドメイン コントローラーをターゲットにすることにも非常に興味を持っていました。

中国とつながりのあるグループは、常にスパイ活動と、外国政府の対中姿勢や政策の監視に重点を置いてきました。今回の攻撃、そして2024年12月に私たちが記録した、中国で大きな存在感を持つ米国の大規模組織を標的とした以前の活動は、中国のAPTグループが、対中政策の策定に影響力を持つ組織や、中国とつながりのある組織に強い関心を持ち続けていることを示しています。現在の地政学的状況において、これらのアクターが米国に拠点を置く機関に関心を寄せていることは驚くべきことではありません。

この活動において注目すべきは、Kelp、Space Pirates、APT41といった複数の中国アクターと関連付けられているツールやファイルが使用されていることです。グループ間でのツールの共有は、中国の脅威アクターの間で長年続いている傾向であり、一連の活動の背後にどのグループがあるのかを特定することは困難です。

侵害の兆候

51ffcff8367b5723d62b3e3108e38fb7cbf36354e0e520e7df7c8a4f52645c4d – Imjpuexc – csidl_profile \documents\imjpuexc.exe

6f7f099d4c964948b0108b4e69c9e81b5fc5ff449f2fa8405950d41556850ed9 – 不明 – csidl_profile \documents\ msoutbound

99a0b424bb3a6bbf60e972fd82c514fd971a948f9cedf3b9dc6b033117ecb106 – 同じハッシュがSpace Piratesの活動にも関連していると報告されている – csidl_profile \ ldap_write \documents\sbamres.dll

dae63db9178c5f7fb5f982fbd89683dd82417f1672569fef2bbfef83bec961e2 – Dcsync – csidl_profile \downloads\mmp.exe

e356dbd3bd62c19fa3ff8943fc73a4fab01a6446f989318b7da4abf48d565af2 – 正規のVipreAVコンポーネント – csidl_profile \documents\vetysafe.exe

f52b86b599d7168d3a41182ccd89165e0d1f2562aa7363e0718d502b7e3fcb69 – 不明 – csidl_profile \ ldap_write \documents\msascui.exe