Last Updated on 2024-05-23 10:09 by TaTsu
サイバーセキュリティ研究者たちは、2018年から活動しているとされる未記載の脅威グループ「Unfading Sea Haze」について詳細を公開した。このグループは、南シナ海諸国の高レベルの組織、特に軍事および政府関連の目標を狙っている。Bitdefenderの報告によると、これまでに合計8件の被害が確認されている。攻撃者は、コンプロマイズされたシステムへの再アクセスを繰り返し、これは弱い認証情報の管理と、露出したデバイスやウェブサービスの不十分なパッチ適用の脆弱性を浮き彫りにしている。
攻撃者の背後にいる脅威アクターは、中国の利益と一致する目標を持っているとされるが、既知のハッキンググループとの攻撃シグネチャは一致しない。フィリピンなどの国々や南太平洋の他の組織が以前、中国にリンクされたMustang Pandaアクターによって標的にされていた。攻撃には、中国語を話す脅威アクターによって使用されていることが知られているGh0st RATマルウェアの様々なバージョンが使用されている。
Unfading Sea Hazeは、SharpJSHandlerというツールを通じてJScriptコードを実行する特定の技術を使用しており、これはAPT41にリンクされている「FunnySwitch」バックドアに見られる機能と似ている。しかし、これは孤立した類似点である。ターゲットに侵入するために使用された初期アクセス経路は現在不明であるが、Unfading Sea Hazeがスピアフィッシングメールを通じて同じエンティティへのアクセスを再度確立していることが観察されている。これらのメールには、実行されると次の段階のペイロードをリモートサーバーから取得するコマンドを起動するWindowsショートカット(LNK)ファイルが含まれている。
攻撃チェーンは、スケジュールされたタスクを使用して永続性を確立することを特徴としており、タスク名は正当なWindowsファイルを模倣しており、DLLサイドローディングに対して脆弱な無害な実行可能ファイルを実行するために使用される。攻撃者は、無効にされたローカル管理者アカウントを有効にし、そのパスワードをリセットすることを試みることにより、別の永続化技術を使用している。
Unfading Sea Hazeは、少なくとも2022年9月以来、ITarian RMMのような商用のリモートモニタリングおよび管理(RMM)ツールを使用して被害者ネットワークに足がかりを得ていることが知られており、これはイランのMuddyWaterグループを除いて国家支援アクターの間では一般的ではない戦術である。敵の洗練度は、Gh0st RATのバリアントなど、その武器庫に含まれる多様なカスタムツールによって証明されている。
【編集者追記】用語解説
- Gh0stRAT: リモートアクセストロイの木馬型マルウェアの一種。攻撃者に感染システムの完全な制御権を与える。
- フィルレス攻撃: マルウェアのファイルを作成せずに実行可能ファイルを悪用する攻撃手法。検知が難しい。
- Bitdefender: ルーマニアに本社を置く大手サイバーセキュリティ企業。マルウェア対策ソフトウェアで知られる。
- Mustang Panda: 中国に拠点を置く国家支援の脅威グループ。東南アジア諸国をターゲットにしている。
- Unfading Sea Haze: 本記事で報告された新たな中国系の脅威グループ。南シナ海地域の軍事・政府機関を標的にした。
- SharpJSHandler: 攻撃者が使用するツール。JavaScriptを介してマルウェアをダウンロード・実行する。
- FunnySwitch: 攻撃者が使用するツール。ファイルレス攻撃に使われ、メモリ内でマルウェアを実行する。
- ITarian RMM: リモートモニタリングおよび管理ツール。攻撃者に不正に利用される可能性がある。
- MuddyWater: イランに拠点を置く国家支援の脅威グループ。中東地域をメインにサイバー攻撃を行う。
【参考リンク】
Bitdefenderオフィシャルサイト:(ルーマニアに本社を置く大手セキュリティソフトウェア企業:外部)
【関連記事】
サイバーセキュリティ関連の記事をinnovaTopiaでもっと読む
【ニュース解説】
サイバーセキュリティの研究者たちが、2018年から活動しているとされる「Unfading Sea Haze」という未記載の脅威グループについての詳細を公開しました。このグループは、南シナ海諸国の軍事および政府関連の高レベル組織を狙っており、これまでに8件の被害が確認されています。特に、このグループはコンプロマイズされたシステムへの再アクセスを繰り返し、弱い認証情報の管理や露出したデバイス、ウェブサービスの不十分なパッチ適用の脆弱性を利用しています。
攻撃者の背後にいる脅威アクターは、中国の利益と一致する目標を持っているとされ、フィリピンなどの国々や南太平洋の他の組織が以前、中国にリンクされたMustang Pandaアクターによって標的にされていたことが指摘されています。攻撃には、Gh0st RATマルウェアの様々なバージョンが使用されており、これは中国語を話す脅威アクターによって使用されていることが知られています。
Unfading Sea Hazeが使用する特定の技術には、SharpJSHandlerというツールを通じてJScriptコードを実行するものがあり、これはAPT41にリンクされている「FunnySwitch」バックドアに見られる機能と似ていますが、これは孤立した類似点です。また、スピアフィッシングメールを通じて同じエンティティへのアクセスを再度確立する手法が観察されています。
この攻撃グループの特徴は、スケジュールされたタスクを使用して永続性を確立し、DLLサイドローディングに対して脆弱な無害な実行可能ファイルを実行するために正当なWindowsファイルを模倣するタスク名を使用することです。さらに、無効にされたローカル管理者アカウントを有効にし、そのパスワードをリセットすることを試みるなど、別の永続化技術も使用しています。
Unfading Sea Hazeは、商用のリモートモニタリングおよび管理(RMM)ツールを使用して被害者ネットワークに足がかりを得ており、その武器庫にはGh0st RATのバリアントなど、多様なカスタムツールが含まれています。これらの事実は、このグループが高度な技術と戦術を駆使して特定の目標に対する持続的なスパイ活動を行っていることを示しています。
このような攻撃活動は、対象となる国々や組織にとって重大なセキュリティリスクをもたらします。特に、軍事および政府関連の目標が狙われることは、国家安全保障に関わる情報が漏洩する可能性があるため、非常に深刻です。このため、対象となる可能性のある組織は、認証情報の管理を強化し、システムやウェブサービスのパッチ適用を迅速に行うことが重要です。また、スピアフィッシングメールに対する警戒を強化し、不審なメールには注意深く対応する必要があります。
長期的には、このようなサイバー攻撃の脅威に対抗するためには、国際的な協力と情報共有の強化が不可欠です。サイバーセキュリティの脅威は国境を越えるため、各国が情報を共有し、共同で対策を講じることが、より効果的な防御策を構築する鍵となります。
from Researchers Warn of Chinese-Aligned Hackers Targeting South China Sea Countries.
