攻撃の手口① 保守用VPNアカウントを盗み攻撃

MustangPanda、APT40からは次の手口での攻撃が行われた。

1. 中継ポイントを経由し、ハッカーグループが政府向けサービスを提供する情報サービス事業者に侵入
2. 政府機関より情報サービス事業者宛にリモートでの運用、保守目的で払い出されたVPNアカウントを盗用
3. VPNを通じ政府機関のネットワークを侵入し、管理アカウント取得の機会を狙い水平での展開作業を実行
4. 政府機関内部のホスト、サーバーに侵入後はVPNソフトを密かにインストール
5. ADサーバーにログイン、管理権限を持つアカウントを作成し侵入痕跡を抹消

• SoftEtherのVPNソフトが悪用されていたと発表している。
• また攻撃インフラには特定部門の情報サービス事業者が運用する５台のメールサーバーも悪用されており、WebShellが埋め込まれていた。
• この攻撃により6,000を超えるメールアカウントが攻撃者により侵害された可能性がある。

攻撃の手口② 市販ルーターをのっとり攻撃

BlackTech、Taidoorからは次の手口の攻撃が行われた。

1. 政府機関と取引のある情報サービス事業者へ侵入
2. ADサーバーを侵害し、グループポリシーを使用してマルウエアを配布

• マルウェアWaterbearの存在が侵害されたサーバーから確認された。このマルウエアはBlackTechと関係があるとされ、情報を外部へVPN経由で送信する。
• 攻撃インフラの一部に家庭向けの無線ルーターが使われていた。ファームウェア更新を怠っている、または既定設定のまま運用されているルーターを攻撃対象とし、既知の脆弱性が悪用されたとみられる。
• 中国の中継局への接続にのっとった無線ルーターを経由するようVPN接続を設定。ハッキング被害に遭った無線ルーターからは11個の不正通信先が確認されている。
• 攻撃は今年3月、4月にかけ3つの公的機関で確認された。さらに不正通信先へ接続した国内の組織は複数存在。少なくとも自治体、水資源局、国立大学などの6つの公的機関、4つの情報サービス事業者が含まれており、これら組織も被害を受けているだろうと担当者はコメント。

MustangPanda、APT40の攻撃で確認されたIPアドレス

43[.]240[.]12[.]81
45[.]124[.]25[.]31
45[.]124[.]25[.]226
103[.]193[.]149[.]26
103[.]240[.]202[.]34

BlackTech、Taidoorの攻撃で無線ルーターから確認されたドメイン名

manage.lutengtw[.]com
dccpulic.lutengtw[.]com
trust.utoggsv[.]com
wg1.inkeslive[.]com
k3ad01.rutentw[.]com
ams05.cksogo[.]com
edgekey.whybbot[.]com
shed.inkeslive[.]com
ap21.gckerda[.]com
cornerth[.]com
teamcorner.nctu[.]me