Last Updated on 2024-06-26 12:04 by 門倉 朋宏
アジア太平洋地域の技術、研究、政府部門が、BlackTechと呼ばれる脅威アクターによって最近のサイバー攻撃波の対象となった。この侵入は、モジュラーバックドア「Waterbear」の更新版およびその強化後継である「Deuterbear」と呼ばれるバージョンの道を開いた。「Waterbear」はその複雑さで知られ、検出と分析の可能性を最小限に抑えるための多数の回避メカニズムを使用する。2022年には、Earth Hundunとして知られる脅威アクターが「Waterbear」の最新バージョン、別名「Deuterbear」を使用し始め、メモリスキャン防止や復号化ルーチンなどの変更が加えられた。
サイバーセキュリティ企業は、この脅威アクターをEarth Hundunの名で追跡しており、少なくとも2007年から活動していることが知られている。日本と米国のサイバーセキュリティおよび情報機関は昨年9月に共同で発表したアドバイザリーで、この敵対者を中国に帰属させ、ルーターファームウェアを変更し、ルーターのドメイン信頼関係を悪用して国際子会社から本社にピボットする能力を説明した。「BlackTech」アクターは、ルーターのログを無効にするなど、カスタムマルウェア、二重使用ツール、および土地の生活戦術を使用して、その操作を隠蔽する。ネットワークの初期フットホールを確保し、ネットワークエッジデバイスへの管理者アクセスを獲得した後、BlackTechサイバーアクターはしばしばファームウェアを変更してエッジデバイス全体での活動を隠し、ネットワーク内での持続性をさらに維持する。
「Waterbear」(別名DBGPRINT)は2009年以来使用されており、防御回避機能が年々改善されてきた。コアリモートアクセストロイの木馬は、DLLサイドローディングと呼ばれる既知の技術を介して実行されるローダーを使用して起動されるダウンローダーによって、コマンドアンドコントロール(C2)サーバーから取得される。最新バージョンのインプラントは、プロセスの列挙と終了、ファイル操作、ウィンドウ管理、リモートシェルの開始と終了、スクリーンショットのキャプチャ、およびWindowsレジストリの変更など、幅広い活動を実行できる約50のコマンドをサポートする。2022年以降、同様の感染フローを使用して配信される「Deuterbear」は、解析防止に抵抗するための一連の難読化方法を実装し、C2通信にHTTPSを使用する。
【ニュース解説】
アジア太平洋地域の技術、研究、政府部門が、BlackTechと呼ばれる脅威アクターによる最新のサイバー攻撃の標的となりました。この攻撃では、モジュラーバックドア「Waterbear」の更新版およびその強化版「Deuterbear」が使用されています。これらのツールは、検出を避けるための複雑な回避メカニズムを使用し、攻撃者が対象のネットワーク内で長期間にわたって潜伏することを可能にします。
「Waterbear」は、2009年から使用されており、その防御回避機能は年々改善されてきました。最新バージョンでは、約50のコマンドをサポートし、攻撃者が対象のシステムで幅広い活動を行うことを可能にしています。一方、「Deuterbear」は2022年から使用されており、HTTPSを使用した通信や、解析を困難にするための難読化技術など、さらに進化した特徴を持っています。
この攻撃の背後にいるBlackTech(またはEarth Hundunとも呼ばれる)は、2007年から活動していることが知られており、中国に帰属されています。彼らは、ルーターのファームウェアを変更し、ルーターのドメイン信頼関係を悪用することで、攻撃の範囲を広げる能力を持っています。
このような攻撃は、対象となる組織にとって重大なセキュリティリスクをもたらします。攻撃者がネットワーク内で長期間にわたって潜伏することで、機密情報の窃取や、さらなる攻撃のための足掛かりを確保することが可能になります。また、攻撃の検出と分析を困難にすることで、対策の立案と実施が遅れる可能性があります。
この攻撃波は、技術、研究、政府部門に対するサイバーセキュリティの重要性を改めて浮き彫りにしています。組織は、セキュリティ対策を常に最新の状態に保ち、不正アクセスの試みを迅速に検出し対処できるよう、体制を整える必要があります。また、国際的な協力による情報共有や、攻撃手法の分析が、このような脅威に対抗する上で重要な役割を果たします。
長期的には、サイバーセキュリティの技術と知識の進化により、より効果的な防御手段の開発が期待されます。しかし、攻撃者もまたその手法を進化させ続けるため、絶え間ない警戒と対策の更新が求められます。
from BlackTech Targets Tech, Research, and Gov Sectors New 'Deuterbear' Tool.
