中国系ハッカーグループが4年間もの間、通信ネットワークをスパイ|セキュリティニュース

投稿日時: 2025年03月27日更新日時: 2025年03月27日

2025年3月、サイバーセキュリティ企業Sygniaが、中国を拠点とするとみられるAPT（高度持続的脅威）グループ「Weaver Ant」による攻撃の詳細を発表しました。被害にあったのはアジア地域の大手通信事業者であったことが分かりました。

インシデントの概要

このインシデントが発覚したきっかけは、ある不審なアクティビティの検出でした。既に無効化されていた攻撃者のアカウントが、内部のサービスアカウントによって再び有効化されたことで、警戒が強まりました。

さらに、まだ侵害が確認されていなかったサーバーから不審な通信が行われていたことが発見され、大規模なフォレンジック調査が開始されました。

調査の結果、Weaver Antが数年間にわたって内部ネットワークに潜伏し、通信を監視しながら継続的に情報を取得していたことが判明します。

特に注目すべきは、Web Shellを用いた継続的な侵入手法でした。

この攻撃キャンペーンでは、外部公開されているウェブサーバーに複数種類の、Web Shellを設置し、そこから社内ネットワークへのラテラルムーブメント（水平移動）を実施。侵入の痕跡を残さずに、内部資産へアクセスを広げていくという極めてステルス性の高い手口がとられていました。

Weaver Antが利用したWeb Shellは2種類あり、1つは暗号化された「China Chopper」、もう1つは独自の「INMemory」型でした。

前者は既知のマルウェアで、ASPXやPHPベースで実装され、WAFなどの検知をすり抜けやすい設計になっています。

後者は、Base64とGZipで圧縮された実行ファイルをメモリ上で展開し、ログを残さずにコードを実行する高ステルス性の特徴を持ちます。

また、通信の監視やログ取得が困難になるよう、通信はHTTPSなど正規のプロトコルを用い、Web Shell Tunnelingと呼ばれる技術によって、複数のウェブサーバーを踏み台に通信を転送。最終的な命令は別のWeb Shellで実行されるなど、非常に高度な分散型の指令系統を構築していました。

さらに、調査では次のような活動も確認されました

これら一連の手口は、検出を逃れながら長期間にわたって被害企業に居座り、必要なデータを継続的に取得するという、高度なAPTの典型的な戦術です。

今回のようなサイバー攻撃(APT攻撃)によるセキュリティ対策やポイントは以下です。

通信内容の全体像を把握するためには、HTTPリクエスト全体のログ取得や、IISログのX-Forwarded-Forヘッダ確認、PowerShellトランスクリプトログの活用などが求められます。

また、特に注意すべきなのが、正常なトラフィックに偽装された異常通信の存在です。SSL通信の中に悪意あるコマンドが紛れていないか、サーバー間通信に予期せぬ転送がないかを監視・分析するために、トラフィックのミラーリングや解読処理の自動化も有効です。

Weaver Antは、WAFやEDRを回避するよう設計された暗号化済みのWeb Shellや、DLLをメモリ内で実行する形式のステルス型モジュールを使用していました。これにより、ファイルベースの検知では対応が困難です。

今回の攻撃では、旧来のアカウントやパスワード未変更の管理者権限が悪用されていました。

Web Shellを踏み台に、SMB経由で内部の他サーバーへ横展開する手口も確認されました。

Weaver Antによるこの攻撃は、国家支援型のAPTがどれほど組織的・計画的に動いているかを浮き彫りにしました。情報システム部門としては、個別のセキュリティ製品に頼るのではなく、検知、応答、復旧までを含む包括的なセキュリティ運用体制の構築が急務です。

特に、公的機関や重要インフラ事業者においては、こうした攻撃が現実のものとして今後も継続的に発生しうることを前提に、防衛戦略を再構築する必要があります。

また、APTの存在を想定した「脅威ハンティング」活動の定期的な実施や、セキュリティインシデント演習の強化も有効です。

参照