Last Updated on 2024-07-06 04:40 by 門倉 朋宏
中国のAPT(Advanced Persistent Threat)グループが、中東、アフリカ、東南アジアの政府や軍事目標から、2022年末から毎日メールやファイルを盗み出している。この活動は「Operation Diplomatic Specter」と呼ばれ、外務省、軍事機関、大使館など、少なくとも3つの大陸にある7カ国以上を対象としている。目的は、地政学的な紛争、外交・経済ミッション、軍事作戦、政治会議、高官や軍人、特に大使館や外務省に関する機密やその他の重要情報を入手することである。
攻撃はWebサーバーやMicrosoft Exchangeサーバーを狙い、ProxyLogonやProxyShellといった3年前の重大な脆弱性を利用して侵入する。初期アクセスを確保した後、攻撃者は合計16種類の悪意のあるツールを使用している。これには、nbtscan、JuicyPotatoNG、Mimikatzなどの一般的なオープンソースプログラムや、Yassoのような新しく強力な中国のペネトレーションテストツール、そしてPlugXやChina Chopperといった有名な中国のマルウェアファミリーが含まれる。特に、Gh0st RATを基にしたSweetSpecterやTunnelSpecterといったカスタムバックドアを使用している。
これらのツールを使って、攻撃者は高価値のターゲットのメールボックスに到達し、そこから機密メールやファイルを静かに盗み出す。時には被害者のメールボックス全体を抜き出し、時にはキーワード検索を使用して、中国人民共和国に関心のある軍事データ、通信やエネルギー情報、習近平やジョー・バイデンなどの政治指導者に関連する資料などを特定している。
【ニュース解説】
中国のAPT(Advanced Persistent Threat、高度な持続的脅威)グループが、中東、アフリカ、東南アジアの政府や軍事目標から重要な情報を盗み出しているという報告があります。この活動は「Operation Diplomatic Specter」と名付けられ、外務省、軍事機関、大使館などを対象にしています。目的は、地政学的な紛争、外交・経済ミッション、軍事作戦、政治会議、高官や軍人、特に大使館や外務省に関する機密やその他の重要情報を入手することです。
攻撃は、WebサーバーやMicrosoft Exchangeサーバーを狙い、3年前に発見されたProxyLogonやProxyShellといった重大な脆弱性を利用して侵入します。初期アクセスを確保した後、攻撃者は合計16種類の悪意のあるツールを使用します。これには、nbtscan、JuicyPotatoNG、Mimikatzなどの一般的なオープンソースプログラムや、Yassoのような新しく強力な中国のペネトレーションテストツール、そしてPlugXやChina Chopperといった有名な中国のマルウェアファミリーが含まれます。特に、Gh0st RATを基にしたSweetSpecterやTunnelSpecterといったカスタムバックドアを使用しています。
これらのツールを使って、攻撃者は高価値のターゲットのメールボックスに到達し、そこから機密メールやファイルを静かに盗み出します。時には被害者のメールボックス全体を抜き出し、時にはキーワード検索を使用して、中国人民共和国に関心のある軍事データ、通信やエネルギー情報、習近平やジョー・バイデンなどの政治指導者に関連する資料などを特定しています。
このような攻撃は、国家間の情報戦争の一環と見ることができます。情報は力であり、政治的、軍事的な意思決定において重要な役割を果たします。このため、国家は敵対国の意図、能力、計画を理解するために情報を収集しようとします。しかし、このような行為は国際法に違反する可能性があり、対象国との関係悪化や報復行為を招くリスクがあります。
この報告は、国際社会におけるサイバーセキュリティの重要性を再確認させます。特に、既知の脆弱性に対する迅速な対応と、防御の深層化(ディフェンス・イン・デプス)が重要です。また、国家レベルでのサイバー攻撃に対する国際的な協力と規範の確立も求められます。将来的には、より高度な防御技術の開発や、AIを活用した自動化された脅威検出・対応システムの導入が、サイバー攻撃に対する有効な対策となるでしょう。
from China APT Stole Geopolitical Secrets From Middle East, Africa & Asia.
