innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

中国のAPTグループ、中東・アフリカ・アジアの政府機関を標的に

中国のAPTグループ、中東・アフリカ・アジアの政府機関を標的に - innovaTopia - (イノベトピア)

Last Updated on 2024-06-29 07:57 by admin

中東、アフリカ、アジアの政府機関が、中国の高度な持続的脅威(APT)グループによるサイバー諜報活動「Operation Diplomatic Specter」の標的となっている。この活動は少なくとも2022年末から続いており、Palo Alto NetworksのUnit 42の研究者によると、少なくとも7つの政府機関に対する長期的な諜報活動が明らかにされた。この脅威アクターは、コンプロマイズされたサーバーに対して珍しいメール抽出技術を利用して大規模な情報収集を行っている。

このグループは以前、CL-STA-0043として追跡されていたが、この侵入セットが中国の国家利益に沿って行動する単一のアクターの仕業であるとの評価に基づき、TGR-STA-0043という一時的なアクターグループに昇格された。攻撃の対象には、外交および経済ミッション、大使館、軍事作戦、政治会議、対象国の省庁、および高官が含まれる。CL-STA-0043は2023年6月に、中東およびアフリカの政府機関を対象に、珍しい資格情報盗難およびExchangeメール抽出技術を使用しているとして初めて文書化された。

攻撃チェーンには、TunnelSpecterおよびSweetSpecterという、以前に文書化されていないバックドアのセットが関与している。これらは両方とも、北京政府のハッカーによって広く使用されているGh0st RATのバリアントである。TunnelSpecterは、データ抽出のためのDNSトンネリングの使用からその名が付けられ、SweetSpecterは、2023年8月以降に中国語を話すと思われる脅威アクターによって使用されているSugarGh0st RATのカスタムバリアントとの類似性からその名が付けられた。これらのバックドアは、敵に対象のネットワークへの潜在的なアクセスを維持する能力を与え、任意のコマンドを実行し、データを抽出し、感染したホストにさらなるマルウェアやツールを展開する。

初期アクセスは、ProxyLogonおよびProxyShellなどの既知のExchangeサーバーの脆弱性の悪用によって達成される。この脅威アクターは、特定のキーワードを検索し、それらに関連するもの、例えば特定の外交ミッションや個人の完全なアーカイブされた受信箱など、見つけることができるものは何でも抽出した。また、検索していたトピックに関連するファイルも抽出した。Operation Diplomatic Specterに関連する中国のリンクは、APT27、Mustang Panda、Winntiなどの中国ネクサスグループによって排他的に使用されている運用インフラストラクチャ、およびChina ChopperウェブシェルやPlugXなどのツールの使用からも明らかである。

【ニュース解説】

中東、アフリカ、アジアの政府機関が、中国の高度な持続的脅威(APT)グループによるサイバー諜報活動「Operation Diplomatic Specter」の標的となっていることが、Palo Alto NetworksのUnit 42によって明らかにされました。この活動は2022年末から続いており、少なくとも7つの政府機関に対する長期的な諜報活動が行われています。この脅威アクターは、コンプロマイズされたサーバーに対して珍しいメール抽出技術を利用して大規模な情報収集を行っています。

このAPTグループは、外交および経済ミッション、大使館、軍事作戦、政治会議、対象国の省庁、および高官を攻撃の対象としています。攻撃チェーンには、TunnelSpecterおよびSweetSpecterという、Gh0st RATのバリアントである以前に文書化されていないバックドアのセットが関与しています。これらのバックドアは、敵に対象のネットワークへの潜在的なアクセスを維持する能力を与え、任意のコマンドを実行し、データを抽出し、感染したホストにさらなるマルウェアやツールを展開することを可能にします。

初期アクセスは、ProxyLogonおよびProxyShellなどの既知のExchangeサーバーの脆弱性の悪用によって達成されます。この脅威アクターは、特定のキーワードを検索し、それらに関連するもの、例えば特定の外交ミッションや個人の完全なアーカイブされた受信箱など、見つけることができるものは何でも抽出します。また、検索していたトピックに関連するファイルも抽出します。

このような攻撃活動は、対象国の安全保障にとって重大な脅威をもたらします。政府機関や軍事組織の機密情報が外部に漏れることで、国家の安全保障や外交政策に関する重要な情報が敵対国に渡る可能性があります。また、このようなサイバー諜報活動は、国際関係における信頼の損失や緊張の高まりを引き起こす可能性があります。

一方で、この報告はサイバーセキュリティの重要性を改めて浮き彫りにしています。特に、政府機関や重要インフラを守るためには、既知の脆弱性への対策、定期的なセキュリティ監査、従業員のセキュリティ意識の向上など、包括的なセキュリティ対策が不可欠です。また、国際的な協力を通じてサイバー脅威の情報共有を行い、共通の脅威に対抗することも重要です。この報告は、サイバー諜報の複雑さと、それに対抗するための国際社会の連携の必要性を示しています。

from Inside Operation Diplomatic Specter: Chinese APT Group's Stealthy Tactics Exposed.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 中国のAPTグループ、中東・アフリカ・アジアの政府機関を標的に

Latest News