PR

中国関与LongNosedGoblin、Windowsグループポリシーで諜報マルウェア展開

Security

Source:https://thehackernews.com/2025/12/china-aligned-threat-group-uses-windows.html

🛡 概要

中国関与と評価される未公開クラスター「LongNosedGoblin」が、東南アジアおよび日本の政府系組織を標的に継続的なサイバースパイ活動を実施。ESETの最新報告では、少なくとも2023年9月以降活動し、侵害後にWindowsのグループポリシー(GPO)を悪用してネットワーク全体へ独自の.NET系ツール群を配布し、OneDrive・Google Drive・Yandex DiskといったクラウドサービスをC2や流出先として活用していることが示されています。初期侵入手口は未判明ですが、配布後は標的限定の実行ガードレールを備えたドロッパーや、キーロガー、ブラウザ履歴・データの収集、音声・映像の取得などにより静かに情報を窃取します。

🔍 技術詳細

本件の特徴は「侵入後の横展開と持続的窃取」に重心があります。攻撃者はドメイン内の権限を得た後、GPOを新規作成または改変・リンクすることで、対象OU配下の複数端末へ起動/ログオンスクリプトやスケジュールタスクを配布し、.NETベースのペイロードを実行します。主なツールは以下の通りです。

  • NosyHistorian:Chrome/Edge/Firefoxの履歴収集
  • NosyDoor:OneDriveをC2としてコマンド実行・ファイル窃取/削除・シェル実行
  • NosyStealer:Chrome/Edgeのブラウザデータを暗号化TARにまとめGoogle Driveへ送信
  • NosyDownloader:メモリ上にペイロードをダウンロード・実行(例:NosyLogger)
  • NosyLogger:DuckSharpを改変したキーロガー

さらに、AppDomainManagerインジェクションを用いるドロッパー、逆向きSOCKS5プロキシ、映像/音声キャプチャ用ユーティリティ、Cobalt Strikeローダーなども観測されています。NosyDoorの別亜種ではYandex DiskがC2に使われた例もあり、クラウドAPI(HTTP/HTTPS)経由でのC2/流出を巧妙に隠蔽します。複数被害者のうちNosyDoorまで展開されるのは一部で、ドロッパーに被害端末を限定する実行ガードレール(環境キーイング)を実装することで、検知リスクを低減しつつ狙いを絞る運用が確認されています。

⚠ 影響

ドメイン配下に一斉配布されるため、短時間で広範囲に情報収集が可能。ブラウザ履歴・データ、キーストローク、文書・画面・音声/映像が窃取され、機密政策文書・外交資料・認証情報の漏えいに直結します。C2に正規クラウドを用いるためプロキシ/ファイアウォールをすり抜けやすく、長期潜伏と継続的流出のリスクが高い点が重大です。

🛠 対策

  • GPOガバナンス:GPO変更を専任のドメイン管理者に限定し、変更申請・レビュー・承認のワークフロー化。GPOの変更差分監査を常時有効化。
  • 実行制御:WDAC/AppLockerで不明/未署名の.NET実行体、SYSVOL配下スクリプトからの不審実行を制限。
  • クラウド出口制御:業務不要なOneDrive/Google Drive/Yandex Diskへのアクセスをプロキシ/CASBで制限し、API利用(トークン/スコープ)を可視化。
  • EDR強化:メモリ実行、AppDomainManager設定悪用、キーロギング挙動、異常なブラウザデータアクセスの挙動検知ルールを適用。
  • 特権分離:Tiered Adminモデル、PAW(特権作業端末)、MFA徹底。DC/管理端末のインターネット分離。
  • バックアップ/インシデント対応:証跡保持(90日以上)、封じ込め・根絶・復旧のプレイブック整備。

📌 SOC視点

  • AD DS監査(Security):Event ID 5136/5137(ディレクトリオブジェクト変更/作成)でCN=Policies,CN=System配下のGPO変更を監視。変更者・属性(スクリプト/スケジュール)・リンク先OUを相関。
  • ファイル監視:SYSVOL内の\\DOMAIN\SYSVOL\…\Policies\{GUID}\(Machine|User)\Scripts 直下の新規/改変スクリプト、バイナリ配置を監査。
  • クライアント側(GroupPolicy/Operational):GPO適用時のスクリプト実行イベントを収集し、配布元UNCパスとプロセスツリー(cmd/powershell/msiexec/wscript/cscript)を紐付け。
  • ネットワーク/プロキシ:業務外端末やサーバからの *.onedrive.live.com、graph.microsoft.com、www.googleapis.com/drive/*、cloud-api.yandex.net/disk への異常リクエスト(ユーザーエージェント不整合、非ブラウザプロセス、時間帯偏り、転送量急増)。
  • EDRテレメトリ:.NET子プロセスの反射型ロード、暗号化TAR生成、キーフック/低水準入力API使用、逆SOCKS5通信(長時間の外向き持続接続)。
  • レジストリ/環境:AppDomainManager悪用の痕跡(APPDOMAIN_MANAGER_ASM/APPDOMAIN_MANAGER_TYPE などの環境変数・ポリシー構成)。

📈 MITRE ATT&CK

  • T1484.001(Domain Policy Modification: Group Policy)— 侵害後、GPOでマルウェアを横展開(ESET報告の「Group Policyを用いた配布」に一致)。
  • T1071.001(Application Layer Protocol: Web Protocols)— OneDrive/Google Drive/Yandex DiskをHTTP(S)経由でC2に利用。
  • T1567.002(Exfiltration to Cloud Storage)— ブラウザデータ等をクラウドストレージへ流出。
  • T1560.002(Archive Collected Data: Archive via Library)— 暗号化TARアーカイブ生成(NosyStealer)。
  • T1056.001(Input Capture: Keylogging)— NosyLoggerによるキーストローク記録。
  • T1574.014(Hijack Execution Flow: AppDomain Manager)— AppDomainManagerインジェクションを用いた実行。
  • T1090.003(Proxy: Multi-hop Proxy)— 逆SOCKS5プロキシによる通信中継。
  • T1123(Audio Capture)/ T1125(Video Capture)— 音声・映像の取得。
  • T1105(Ingress Tool Transfer)— NosyDownloader等でペイロードを取得・実行。
  • T1480(Execution Guardrails)— 被害端末限定の実行ガードレールにより検知回避。

🏢 組織規模別助言

〜50名:GPO変更の二重承認と監査を最優先。OneDrive/Google Driveの外向き通信を業務必須端末に限定。EDRの挙動ベース検知(メモリ実行/スクリプト濫用)を有効化し、週次でGPO差分を点検。

50〜500名:Tiered AdminとPAW導入、WDACで署名ソフト許可リストを適用。CASBで個人クラウド利用を制限。SIEMでAD監査(5136/5137)とプロキシログを相関させ、SYSVOL改変検知に即応する運用を確立。

500名以上:GPO変更のCI/CD化(テスト→承認→本番)、継続的脅威ハンティング(クラウドAPI異常、.NET反射ロード、AppDomainManager痕跡)。ゼロトラストEgress制御、データ分類とDLPで機密のクラウド流出を阻止。

🔎 類似事例

  • Contiなど複数ランサムウェア運用者がGPOでペイロードを一斉配布した事例
  • APT29(Nobelium)によるOneDrive悪用C2の報告
  • ToddyCatおよびErudite Mogwaiとの限定的なTTP類似(直接の関連は未確証)
  • NosyDoorとLuckyStrike Agentの類似性指摘(ツール共有/ライセンスの可能性)

🧭 次の一手

まずはAD/GPOの変更監査を全面有効化し、直近90日分のGPO差分とSYSVOLの改変履歴を点検。次に、プロキシ/CASBでOneDrive・Google Drive・Yandex Diskへのアクセスを用途別に整理・制限。最後に、WDAC/AppLockerの段階的適用と、AppDomainManager/反射型ロード/暗号化TAR生成を含むEDR検知シグネチャを検証環境でテストしてください。詳細な手順は、次に案内する「AD/GPOハードニング実践ガイド」と「クラウドC2検出プレイブック」を参照。