innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

アジア太平洋の政府を狙うToddyCat、大規模データ盗難の手口を暴露

アジア太平洋の政府を狙うToddyCat、大規模データ盗難の手口を暴露 - innovaTopia - (イノベトピア)

Last Updated on 2024-07-04 04:54 by admin

ToddyCatと呼ばれるAPT(Advanced Persistent Threat)グループが、アジア太平洋地域の政府および防衛目標から大規模にデータを収集している。このグループは、被害者の環境に複数の同時接続を使用して持続性を維持し、データを盗むことがKasperskyの研究者によって報告された。また、ToddyCatが被害者のシステムとブラウザからデータを収集するために使用している新しいツールのセットも発見された。

ToddyCatは、2020年12月以降に遡る攻撃と関連付けられている中国語を話す可能性のある脅威アクターである。このグループは当初、台湾とベトナムの少数の組織に焦点を当てていたが、2021年2月にMicrosoft Exchange ServerのProxyLogon脆弱性の公開開示に続いて、攻撃を急速に増加させた。Kasperskyは、ToddyCatが2021年2月以前にProxyLogon脆弱性を標的にした脅威アクターのグループの中にいた可能性があると考えているが、その推測を裏付ける証拠はまだ見つかっていない。

Kasperskyの最新の調査では、ToddyCatが侵害されたネットワークへの持続的なリモートアクセスを維持する戦術として、異なるツールを使用して複数のトンネルを確立していることが示された。これには、リモートネットワークサービスへのアクセスを得るための逆SSHトンネルの使用、OpenVPN、L2TP/IPSecなどのプロトコルを介してVPN接続を可能にするオープンソースツールであるSoftEther VPNの使用、攻撃者が制御するクラウドインフラストラクチャから被害者環境内のターゲットホストにコマンドアンドコントロールをリダイレクトするための軽量エージェント(Ngrok)の使用が含まれる。

さらに、Kasperskyの研究者は、ToddyCatがデータ収集キャンペーンで少なくとも3つの新しいツールを使用していることを発見した。その一つは「Cuthead」とKasperskyが名付けたマルウェアで、特定の拡張子または単語を含むファイルを被害者ネットワークで検索し、アーカイブに保存することを可能にする。もう一つの新しいツールは「WAExp」で、WhatsAppのWeb版からブラウザデータを検索し、収集することがタスクである。3つ目のツールは「TomBerBil」で、ChromeおよびEdgeブラウザからパスワードを盗むことを可能にする。

Kasperskyは、組織がトラフィックトンネリングを提供するクラウドサービスのIPアドレスをブロックし、管理者がリモートでホストにアクセスするために使用できるツールを制限することを推奨している。また、環境内の使用されていないリモートアクセスツールを削除するか、密接に監視すること、およびユーザーにブラウザにパスワードを保存しないように促すことも必要であると述べている。

【ニュース解説】

ToddyCatと呼ばれるAPT(Advanced Persistent Threat)グループが、アジア太平洋地域の政府や防衛関連の目標から大規模にデータを収集していることが、セキュリティ研究機関Kasperskyによって報告されました。このグループは、被害者の環境に複数の同時接続を確立することで、システムへの持続的なアクセスを保ち、重要なデータを盗み出しています。

ToddyCatは、中国語を話す可能性があるとされ、2020年12月以降にさかのぼる攻撃と関連付けられています。当初は台湾とベトナムの少数の組織を対象にしていましたが、2021年2月にMicrosoft Exchange ServerのProxyLogon脆弱性が公開された後、その活動を急激に拡大しました。

このグループは、異なるツールを使用して複数のトンネルを確立することで、侵害されたネットワークへの持続的なリモートアクセスを維持しています。これには、逆SSHトンネル、SoftEther VPN、Ngrokなどが含まれ、これらを通じてリモートネットワークサービスへのアクセスや、攻撃者が制御するクラウドインフラストラクチャから被害者環境内のターゲットホストへのコマンドアンドコントロールのリダイレクトが可能になっています。

また、Kasperskyの研究者は、ToddyCatがデータ収集キャンペーンで使用している新しいツールも発見しました。これには、「Cuthead」と呼ばれるマルウェアが含まれ、特定の拡張子や単語を含むファイルを検索し、アーカイブに保存する機能を持っています。さらに、「WAExp」というツールは、WhatsAppのWeb版からブラウザデータを収集することができ、もう一つのツール「TomBerBil」は、ChromeおよびEdgeブラウザからパスワードを盗むことが可能です。

このような攻撃の複雑さと巧妙さは、組織がセキュリティ対策を強化する必要があることを示しています。Kasperskyは、トラフィックトンネリングを提供するクラウドサービスのIPアドレスをブロックし、リモートアクセスツールの使用を制限すること、また、使用されていないリモートアクセスツールを削除または監視すること、ブラウザにパスワードを保存しないようユーザーに促すことを推奨しています。

ToddyCatの活動は、国家レベルのサイバー脅威がいかに高度化しているかを示しており、政府や防衛関連の組織だけでなく、一般企業にとっても警戒が必要です。また、このようなAPTグループによる攻撃は、国際的なサイバーセキュリティの枠組みや協力を強化する必要性を浮き彫りにしています。長期的には、サイバー攻撃の検出と防御の技術を進化させることが、このような脅威に対抗する鍵となるでしょう。

from ToddyCat APT Is Stealing Data on 'Industrial Scale'.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » アジア太平洋の政府を狙うToddyCat、大規模データ盗難の手口を暴露

Latest News