1. HOME
  2. ブログ
  3. 編集部
  4. Silver Dragon、WindowsサービスやGoogle Driveを悪用

Silver Dragon、WindowsサービスやGoogle Driveを悪用

編集部

チェック・ポイント・リサーチ(以下、CPR)は、中国に関連するとみられるサイバー諜報活動「Silver Dragon」の詳細を明らかにした。正規のWindowsサービスやGoogle Driveを悪用して長期間潜伏する攻撃手法が確認されており、東南アジアおよびヨーロッパの一部の政府機関や公共機関が標的となっているという。

正規サービスを悪用するステルス型諜報活動

Silver DragonはAPT41との関連性が疑われる活動で、2024年半ばから確認されている。破壊活動ではなく、長期的な情報収集を目的としたサイバー諜報活動である点が特徴とされる。

この作戦では、正規のWindowsサービスを乗っ取り、通常のシステム動作に紛れることで検知を回避する手法が用いられている。また、Google Driveをコマンド&コントロール(C2)通信のチャネルとして利用するカスタムバックドア「GearDoor」が確認された。

攻撃の主な標的は東南アジアの政府機関や公共機関であり、ヨーロッパの一部でも被害が確認されている。ウズベキスタンの政府機関を狙ったフィッシングキャンペーンも確認されており、国家レベルの情報収集活動との関連が指摘されている。

【標的組織の地理的分布】

2つの手法で初期侵入を実行

Silver Dragonは主に2つの手法を用いて初期侵入を行う。1つはインターネットに公開されたサーバーの悪用、もう1つはメールベースのフィッシング攻撃である。

この2つの手法を組み合わせることで、公開インフラを持つ組織とメール依存度の高い組織の双方を標的にすることが可能となり、公共機関の攻撃対象領域を拡大させている。

ウズベキスタンの政府機関宛てに送信されたフィッシングメールでは、公式文書を装ったメッセージが使用されており、受信者に信頼された通信であるかのように見せかけている。

ウズベキスタンの政府機関宛ての公式文書を装ったフィッシングメールの一例

Windowsサービスを悪用した永続化

Silver Dragonは、明確に悪意あるサービスを新規に作成するのではなく、既存のWindowsサービスを悪用することで永続化を実現する。

悪用されるサービスには、Windows Update(wuausrv)、Bluetooth Update(bthsrv)、.NET ClickOnce(DfSvc)、COM+ System Application、Time Zone Synchronization(tzsync)などが含まれる。これらの正規サービスの名称を利用して悪意あるコードを読み込むことで、通常のシステム活動に紛れ込み、検知を困難にしている。

この手法により、政府機関や大規模組織の環境においても長期間の潜伏が可能になるとCPRは指摘している。

Google DriveをC2として利用

このキャンペーンの特徴の一つが、Google Driveを利用したクラウドベースのC2通信である。

バックドア「GearDoor」は感染端末上で専用のクラウドフォルダを作成し、.pngや.rarに偽装したファイルを用いて暗号化された指令や実行結果をやり取りする。Google Driveの通信は通常のクラウド利用として許可されていることが多いため、悪意ある活動は正規のトラフィックに紛れ込むことができる。

この手法は、従来「無害」と見なされてきたSaaS通信をどのように監視すべきかという課題を防御側に突き付けている。

画面監視インプラントによる長期情報収集

侵入後の活動では「SilverScreen」と呼ばれる画面監視ツールが利用される。このツールは画面上に意味のある変化があった場合にのみスクリーンショットを取得する仕組みとなっている。

その結果、システム負荷や検知リスクを抑えながら、長期的なユーザー監視が可能になる。短期的なアクセスではなく、継続的な情報収集を目的とした活動であることが示されている。

LotL手法による正規ツールの悪用

Silver Dragonでは、LotL(Living off the Land)手法によって正規ツールを悪用する攻撃も確認されている。最終的なペイロードはCobalt Strikeビーコンを展開し、DNSトンネリングやHTTP通信を用いて外部と通信する。

場合によっては内部ネットワーク内でSMB通信を利用することで、悪意ある通信をさらに隠蔽することもあるという。カスタムローダー、正規OSコンポーネント、レッドチーミングツールを組み合わせた手法は、この活動が高度なリソースを持つ諜報作戦である可能性を示している。

クラウドとOSサービスの悪用が新たな課題

CPRは、この活動が示す重要なポイントとして、サイバーリスクが明確に悪意あるインフラだけから生じるものではなくなっていることを挙げている。OSの主要サービスや信頼されたクラウドプラットフォームが悪用されることで、潜伏期間が長期化し、従来の境界防御を回避することが可能になる。

政府機関や公共機関にとっては、エンドポイントの可視性、サービス単位の監視、クラウドトラフィックの検査の重要性がさらに高まっているとCPRは指摘している。

チェック・ポイントの脅威インテリジェンスグループマネージャーであるセルゲイ・シュキエヴィチ氏は、現代のサイバー諜報活動では信頼されたプラットフォーム内部に攻撃が潜む傾向があると述べている。組織が自らを保護するためには、公開サーバーへの迅速なパッチ適用、強固なメール防御、クラウド活動の継続的な監視などが重要になるとしている。

出典:PRTimes チェック・ポイント・リサーチ、WindowsサービスやGoogle Driveを悪用するサイバー諜報活動「Silver Dragon」を報告

関連記事

【新着記事】