innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

ロシアのハッカーグループ、アジア太平洋の政府機関を狙う大規模データ窃盗事件発覚

Last Updated on 2024-04-23 06:29 by admin

ロシアのハッカーグループToddyCatが、アジア太平洋地域に位置する主に政府機関や防衛関連の組織を対象に、高度なツールを使用して大規模なデータ窃盗を行っていることが観察された。このグループは、多数のホストから大量のデータを収集するために、データ収穫プロセスを可能な限り自動化し、攻撃したシステムへの継続的なアクセスと監視を複数の手段で提供している。ToddyCatは2022年6月に初めて文書化され、少なくとも2020年12月以降、ヨーロッパとアジアの政府および軍事機関を狙った一連のサイバー攻撃と関連していた。これらの侵入は、侵害されたホストへのリモートアクセスを可能にするSamuraiと呼ばれるパッシブバックドアを利用していた。この脅威アクターの手口を詳しく調査すると、データを収集しMicrosoft OneDriveにアーカイブファイルをアップロードするためのLoFiSeやPcexterなど、追加のデータ抽出ツールが明らかになった。最新のプログラムには、攻撃者が既に感染したシステム内の特権ユーザーアカウントへのアクセスを得た後に使用される、データ収集ソフトウェアのミックスが含まれている。これには、Reverse SSHトンネルを使用するOpenSSH、SoftEther VPN(”boot.exe”、”mstime.exe”、”netscan.exe”、”kaspersky.exe”などの無害なファイルに名前を変更)、NgrokとKrongを使用してコマンドアンドコントロール(C2)トラフィックを特定のポートに暗号化してリダイレクトする、FRPクライアント(Golangベースの高速リバースプロキシのオープンソース)、特定の拡張子やファイル名、または修正日に一致する文書を検索する.NETコンパイル実行可能ファイルのCuthead、WhatsAppウェブアプリに関連するデータをキャプチャしてアーカイブとして保存する.NETプログラムのWAExp、Google ChromeやMicrosoft Edgeなどのウェブブラウザからクッキーやクレデンシャルを抽出するTomBerBilが含まれる。

Kasperskyは、攻撃者が防御を回避する技術を積極的に使用し、システム内での存在を隠蔽しようとしていると述べている。組織のインフラを保護するために、トラフィックトンネリングを提供するクラウドサービスのリソースとIPアドレスをファイアウォールの拒否リストに追加すること、さらに、ブラウザにパスワードを保存しないようユーザーに要求することが推奨されている。

【ニュース解説】

ロシアのハッカーグループであるToddyCatが、アジア太平洋地域に位置する政府機関や防衛関連の組織を対象に、高度なツールを駆使して大規模なデータ窃盗を行っていることが明らかになりました。このグループは、複数のホストから大量のデータを収集するために、データ収穫プロセスを極力自動化し、攻撃したシステムへの継続的なアクセスと監視を可能にする様々な手段を提供しています。

ToddyCatは、侵害されたホストへのリモートアクセスを可能にする「Samurai」というパッシブバックドアを利用することで、2020年12月以降、ヨーロッパとアジアの政府および軍事機関を狙った一連のサイバー攻撃に関与していたことが2022年6月に初めて報告されました。その後の調査で、データを収集しMicrosoft OneDriveにアーカイブファイルをアップロードするためのLoFiSeやPcexterなど、追加のデータ抽出ツールが使用されていることが判明しました。

最新のプログラムには、攻撃者が既に感染したシステム内の特権ユーザーアカウントへのアクセスを得た後に使用される、データ収集ソフトウェアのミックスが含まれています。これには、Reverse SSHトンネルを使用するOpenSSH、SoftEther VPN、NgrokとKrongを使用してコマンドアンドコントロール(C2)トラフィックを特定のポートに暗号化してリダイレクトするFRPクライアント、特定の拡張子やファイル名、または修正日に一致する文書を検索するCuthead、WhatsAppウェブアプリに関連するデータをキャプチャしてアーカイブとして保存するWAExp、ウェブブラウザからクッキーやクレデンシャルを抽出するTomBerBilが含まれます。

Kasperskyによると、攻撃者は防御を回避し、システム内での存在を隠蔽するために、これらの技術を積極的に使用しています。組織のインフラを保護するためには、トラフィックトンネリングを提供するクラウドサービスのリソースとIPアドレスをファイアウォールの拒否リストに追加し、ユーザーに対してブラウザにパスワードを保存しないよう要求することが推奨されています。

このような高度なサイバー攻撃は、政府機関や防衛関連組織にとって重大な脅威をもたらします。攻撃者が持続的にシステムにアクセスし、大量の機密データを盗み出すことは、国家安全保障にとって深刻なリスクです。このため、サイバーセキュリティ対策の強化と、特に重要な情報を扱う組織における従業員のセキュリティ意識の向上が急務となります。また、攻撃手法の進化に対応するためには、セキュリティ技術の継続的な更新と、攻撃を検知し迅速に対応するための体制の整備が不可欠です。

from Russian Hacker Group ToddyCat Uses Advanced Tools for Industrial-Scale Data Theft.

投稿者アバター
admin
自己紹介の全文を表示
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » ロシアのハッカーグループ、アジア太平洋の政府機関を狙う大規模データ窃盗事件発覚

Latest News