Last Updated on 2024-06-20 20:43 by 荒木 啓介
中国のサイバー諜報グループが2021年以降、アジアのある国にある複数の通信事業者を標的にした長期にわたるキャンペーンを展開していることが明らかになった。ブロードコムのSymantec Threat Hunter Teamによる報告によると、攻撃者は標的企業のネットワークにバックドアを設置し、資格情報の盗難を試みた。このサイバー攻撃活動は2020年まで遡る可能性があるとされるが、具体的な標的国は明かされていない。また、攻撃は通信セクターにサービスを提供する企業と、別のアジア国の大学にも及んだ。
使用されたツールは、過去数年間に中国の諜報グループ(Mustang Panda、RedFoxtrot、Naikonなど)が実施した他のミッションと重複しており、COOLCLIENT、QuickHeal、RainyDayなどのカスタムバックドアが含まれる。これらは機密データのキャプチャやコマンドアンドコントロール(C2)サーバーとの通信確立の機能を備えている。攻撃者がターゲットに侵入するために使用した最初のアクセス経路は現時点では不明である。
このキャンペーンは、ポートスキャンツールの展開やWindowsレジストリハイブのダンプを通じた資格情報盗難も特徴としている。攻撃が複数の異なる集団によって独立して行われているのか、単一の脅威アクターが他のグループから入手したツールを使用しているのか、あるいは異なるアクターが単一のキャンペーンで協力しているのかは、この段階では不明である。
攻撃の主な動機もまだ明らかではないが、中国の脅威アクターは世界中の通信セクターを標的にしてきた歴史がある。2023年11月、Kasperskyはパキスタンの国営通信会社を標的としたShadowPadマルウェアキャンペーンを発表し、Microsoft Exchange Serverの既知のセキュリティ欠陥(CVE-2021-26855 aka ProxyLogon)を悪用していた。攻撃者はその国の通信セクターに関する情報を収集していた可能性がある。他の可能性としては盗聴や、その国の重要インフラに対する破壊能力の構築が考えられる。
【ニュース解説】
中国のサイバー諜報グループが2021年以降、アジアの特定の国にある複数の通信事業者を対象にした長期にわたるキャンペーンを展開していることが、ブロードコムのSymantec Threat Hunter Teamによって報告されました。この報告では、攻撃者が標的企業のネットワークにバックドアを設置し、資格情報の盗難を試みたことが明らかにされています。この活動は2020年まで遡る可能性があるとされていますが、具体的な標的国は公表されていません。また、この攻撃は通信セクターにサービスを提供する企業と、別のアジア国の大学にも及んでいます。
使用されたツールは、過去数年間に中国の諜報グループが実施した他のミッションと重複しており、COOLCLIENT、QuickHeal、RainyDayなどのカスタムバックドアが含まれています。これらのツールは機密データのキャプチャやコマンドアンドコントロール(C2)サーバーとの通信確立の機能を備えています。攻撃者がどのようにしてターゲットに侵入したかは現時点では不明です。
このキャンペーンは、ポートスキャンツールの展開やWindowsレジストリハイブのダンプを通じた資格情報盗難も特徴としています。攻撃が複数の異なる集団によって独立して行われているのか、単一の脅威アクターが他のグループから入手したツールを使用しているのか、あるいは異なるアクターが単一のキャンペーンで協力しているのかは、この段階では不明です。
攻撃の主な動機もまだ明らかではありませんが、中国の脅威アクターは世界中の通信セクターを標的にしてきた歴史があります。例えば、2023年11月には、Kasperskyがパキスタンの国営通信会社を標的としたShadowPadマルウェアキャンペーンを発表し、Microsoft Exchange Serverの既知のセキュリティ欠陥を悪用していたことが報告されています。攻撃者はその国の通信セクターに関する情報を収集していた可能性があります。他の可能性としては、盗聴やその国の重要インフラに対する破壊能力の構築が考えられます。
このようなサイバー攻撃活動は、対象国のセキュリティ体制にとって大きな脅威となります。通信インフラは国の重要な基盤であり、そのセキュリティが侵害されることは、国家安全保障にとって深刻なリスクをもたらします。また、このような攻撃は、サイバー諜報活動の複雑さと、国家レベルでのサイバー攻撃の能力が高まっていることを示しています。このため、国際的な協力と共同での対策がより一層求められる状況です。
さらに、この報告は、サイバーセキュリティの専門家や政府機関に対して、通信インフラを守るためのセキュリティ対策の強化と、脅威情報の共有を促すものです。サイバー攻撃の手法は日々進化しており、これに対抗するためには、最新の脅威情報に基づいた防御策の実施と、迅速な対応が不可欠です。
from Chinese Cyber Espionage Targets Telecom Operators in Asia Since 2021.
