赤いメンシェン諜報活動
中国と連携する脅威アクターによる、執拗かつ高度に戦略的なサイバー諜報活動が、通信ネットワークへの侵入に成功した。主な目的は、通信環境をゲートウェイとして利用し、政府関連インフラを監視・侵入することである。
この長期にわたる作戦は、レッド・メンシェンとして知られる脅威グループによるものとされており、同グループはアース・ブルークロウ、デシシブアーキテクト、レッド・デヴ18などの別名でも追跡されている。少なくとも2021年以降、このグループは中東およびアジアの通信事業者を標的にし、重要システム内に深く根付いた秘密裏のアクセスを確立してきた。
目次
デジタルスリーパーセル:高度な持続性技術
セキュリティ研究者らは、今回の攻撃で使用されたアクセスメカニズムは、通信ネットワークにおいてこれまで観測された中でも最も巧妙なものの一つであると指摘している。これらの技術は、デジタル潜伏細胞のように機能し、起動されるまで休眠状態を保ち、検出されない。
攻撃者は、以下のような高度なツールと技術を組み合わせて利用します。
- オペレーティングシステムの深部で動作するカーネルレベルのインプラント
- 従来の検出方法を回避する受動的なバックドア
- 機密性の高いアクセスデータを収集するための認証情報収集ユーティリティ
- クロスプラットフォームのコマンド&コントロールフレームワークにより、柔軟な運用が可能になる。
これらの機能により、攻撃者は検知可能な活動を最小限に抑えつつ、長期的な活動継続性を維持することができる。
BPFDoor:カーネルに潜む見えないバックドア
このキャンペーンの中心にあるのは、ステルス性と高度な技術を体現するLinuxベースのバックドアであるBPFDoorです。従来のマルウェアとは異なり、このマルウェアは検出可能なネットワーク上の痕跡を残しません。
BPFDoorは、ポートを開放したり、可視の通信チャネルを維持したりする代わりに、Linuxカーネル内のBerkeley Packet Filter(BPF)機能を利用します。ネットワークトラフィックを内部的に検査し、特別に作成された「マジックパケット」を受信した場合にのみアクティブになります。
この設計では、常時リスナーやビーコン活動が不要となり、隠れたアクセス機構がオペレーティングシステムに直接組み込まれるため、事実上目に見えない侵入経路が実現し、従来の監視ツールでは検出が極めて困難になります。
初期侵害:エッジインフラストラクチャの悪用
攻撃は通常、インターネットに接続されたシステムやエッジデバイスを標的にすることから始まります。これには、VPNゲートウェイ、ファイアウォール、Web接続サービス、特に主要なエンタープライズテクノロジーに関連するサービスが含まれます。
攻撃者は最初のアクセスに成功すると、支配範囲を拡大するために一連のポストエクスプロイトツールを展開します。これには、CrossC2のようなフレームワークに加え、Sliver、TinyShell、キーロガー、ブルートフォース攻撃ツールなどが含まれます。これらのツールを組み合わせることで、認証情報の収集、内部偵察、侵害された環境間での横方向の移動が可能になります。
デュアルコンポーネントアーキテクチャ:制御とアクティベーション
BPFDoorは、精度とステルス性を追求した2部構成のアーキテクチャで動作します。1つのコンポーネントは侵害されたシステム上に常駐し、着信トラフィックをパッシブに監視して、事前に定義されたトリガーパケットを検出します。検出されると、リモートシェルを起動してアクティブ化します。
2つ目の構成要素は、攻撃者によって操作されるコントローラーです。このコントローラーは、インプラントを起動するために特別に細工されたパケットを送信し、被害者の環境内でも機能します。内部に展開された場合、正規のシステムプロセスを装い、追加の感染を調整し、システム間の制御された横方向の移動を容易にすることができます。
通信レベルの監視:従来のバックドアを超えて
BPFDoorの特定のバリアントは、標準的なバックドア機能を超える機能を備えています。ストリーム制御伝送プロトコル(SCTP)のサポートにより、通信事業者固有の通信を監視することが可能になります。
この機能により、攻撃者は加入者の活動状況を把握し、ユーザーの行動を追跡し、場合によっては特定の人物の物理的な位置を特定することが可能になります。結果として、BPFDoorは通信インフラに組み込まれた監視レイヤーとして機能し、機密性の高い運用状況を長期にわたり低ノイズで可視化します。
回避術の再発明:新たなバリエーションとステルス強化
新たに発見されたBPFDoorの亜種は、回避能力と耐久性を向上させるためのアーキテクチャ上の改良を導入しています。主な改良点は以下のとおりです。
- 一見正当なHTTPSトラフィックの中にトリガーパケットを隠蔽する
- 確実なアクティベーション検出のために、固定バイトオフセットマーカー('9999')を強制的に適用します。
- 感染ホスト間の低プロファイルな相互作用のためのICMPベースの通信の導入
これらの技術により、悪意のあるトラフィックを通常のネットワーク活動にシームレスに溶け込ませることができ、検出される可能性を大幅に低減しながら、コマンドの確実な実行を維持できます。
進化する諜報技術:スタックの奥深くへ
今回のキャンペーンは、攻撃者の手法におけるより広範な変化を浮き彫りにしている。攻撃者は、ユーザー空間のマルウェアだけに頼るのではなく、コンピューティングスタックのより深い部分、特にカーネルやインフラストラクチャレベルにインプラントを埋め込む傾向を強めている。
通信環境は、ベアメタルシステム、仮想化レイヤー、高性能ネットワークハードウェア、コンテナ化された4G/5Gコアコンポーネントなど、その複雑さゆえに特に魅力的な標的となります。これらのマルウェアは、正規のサービスやランタイム環境に統合することで、従来のエンドポイント防御を回避し、長期間にわたって検出されずに存在し続けることができます。
結論:サイバー諜報活動の新たなフロンティア
今回の作戦は、サイバー諜報戦術における著しい進化を示している。攻撃者は、通信インフラとカーネルレベルのステルス機構を悪用することで、極めて機密性の高い環境への長期的かつ低視認性でのアクセスを実現している。
BPFDoorのような高度なツールの使用は、革新的な回避技術や高度なシステム統合と相まって、防御側にとってますます大きな課題となっている。こうした脅威を検知し軽減するには、コンピューティングスタックの下位レイヤーに対する可視性の向上と、従来のセキュリティアプローチの見直しが必要となる。
