Last Updated on 2024-06-05 22:32 by 荒木 啓介
過去1年間に、中国国家によると見られる3つの脅威クラスターが協力して、東南アジアの高プロファイル政府組織から軍事および政治に関する機密情報を盗み出した。この攻撃は「オペレーション・クリムゾン・パレス」と名付けられ、新しいマルウェアツール、15回以上のDLLサイドローディング、そしていくつかの新規回避技術を含む高度な手法が用いられた。3つの異なる脅威クラスターが、攻撃チェーンの中で特化したタスクを実行し、一つの組織の監視下にあると推測される。
この攻撃により、南シナ海に関する戦略的アプローチを概説した文書を含む、大量のファイルとメールが盗まれた。この政府は長年、その領域を巡って中国と争っている。オペレーション・クリムゾン・パレスは、中国の高度な持続的脅威(APT)がインフラと悪意のあるコードを共有していることが知られているが、APT間の協力を新たな高みに引き上げた。
攻撃は2022年3月に最初に確認され、その後2023年に入り、Sophosがクラスター・アルファと呼ぶチームが活動を開始した。アルファはサーバーサブネットのマッピング、管理者アカウントの確認、Active Directoryインフラの探索などの偵察を行い、アンチウイルス保護を無効化し、持続性の確立に向けた様々なステップを実行した。クラスター・ブラボーは、正規アカウントを使用してターゲットのネットワーク内で横方向に拡散することに主に焦点を当て、数週間後に活動を終了した。最後のクラスターであるチャーリーは、2023年3月から2024年4月までアクセス管理に特化し、大量のデータを収集し、外部に送信した。
この攻撃は、WorokやAPT41のサブグループであるEarth Longzhiなど、既知の中国の脅威アクター数グループとのツールやインフラの重複を利用して実行された。Sophosの研究者は、この攻撃が中国政府によるものであると推測しているが、特定のグループを特定することは避けている。
【ニュース解説】
過去1年間にわたり、中国国家によると見られる3つの脅威クラスターが協力して、東南アジアの高プロファイルな政府組織から軍事および政治に関する機密情報を盗み出した事件が発生しました。この一連の攻撃は「オペレーション・クリムゾン・パレス」と名付けられ、新しいマルウェアツール、15回以上のDLLサイドローディング、そしていくつかの新規回避技術を含む高度な手法が用いられました。3つの異なる脅威クラスターが、攻撃チェーンの中で特化したタスクを実行し、一つの組織の監視下にあると推測されます。
この攻撃により、南シナ海に関する戦略的アプローチを概説した文書を含む、大量のファイルとメールが盗まれました。この政府は長年、その領域を巡って中国と争っています。オペレーション・クリムゾン・パレスは、中国の高度な持続的脅威(APT)がインフラと悪意のあるコードを共有していることが知られているが、APT間の協力を新たな高みに引き上げたことを示しています。
この攻撃は、WorokやAPT41のサブグループであるEarth Longzhiなど、既知の中国の脅威アクター数グループとのツールやインフラの重複を利用して実行されました。Sophosの研究者は、この攻撃が中国政府によるものであると推測していますが、特定のグループを特定することは避けています。
この事件は、国家レベルのサイバー攻撃の複雑さと、異なる攻撃グループ間での協力の深さを示しています。攻撃者は、ターゲットの防御を回避し、機密情報を盗み出すために、高度な技術と戦術を駆使しています。このような攻撃は、国際的な緊張を高め、政治的な対立を引き起こす可能性があります。
また、この事件は、政府機関や企業が直面しているサイバーセキュリティの課題を浮き彫りにしています。特に、高度な持続的脅威(APT)に対抗するためには、単一の防御手段に依存するのではなく、多層的なセキュリティ対策を講じることが重要です。さらに、攻撃者間の情報共有が進んでいることから、防御側も情報共有と協力を強化する必要があります。
このような攻撃は、サイバーセキュリティの規制や国際的な協力の枠組みにも影響を与える可能性があります。国家間での情報共有や、サイバー攻撃に対する共通の対応策の策定が、今後さらに重要になってくるでしょう。また、サイバー空間での行動規範や法的枠組みの整備も、国際社会が直面する課題の一つです。
from Chinese Threat Clusters Triple-Team a High-Profile Asia Government Org.
