Last Updated on 2024-07-08 08:07 by 門倉 朋宏
中国に関連する脅威アクターであるSharp Pandaが、アフリカとカリブ海の政府機関を対象としたサイバー諜報活動を拡大している。このキャンペーンでは、Cobalt Strike Beaconをペイロードとして採用し、C2(コマンド&コントロール)通信やコマンド実行などのバックドア機能を可能にしつつ、独自のツールの露出を最小限に抑えている。イスラエルのサイバーセキュリティ企業Check Pointがこの活動をSharp Dragonとして追跡しており、慎重なターゲティングと同時に偵察努力を広げていると述べている。
Sharp Dragonは、2021年6月に東南アジアの政府を標的としてWindowsシステムにバックドア「VictoryDLL」を展開した際に初めて明らかになった。その後の攻撃では、東南アジアの高プロファイルな政府機関を標的とし、Soulモジュラーマルウェアフレームワークを配信して、アクター制御サーバーから追加コンポーネントを受け取り情報収集を行う。Soulバックドアは2017年10月から開発されており、Gh0st RATなど、中国の脅威アクターと関連するマルウェアや公開ツールの機能を取り入れている。
2023年6月には、G20諸国の高官を標的とする攻撃が行われ、政府機関に対する情報収集の焦点を継続していることが示された。Sharp Pandaの活動の鍵は、1-dayセキュリティの脆弱性(例:CVE-2023-0669)を悪用してインフラストラクチャに侵入し、後でC2サーバーとして使用することにある。また、カスタムバックドアよりも正規の敵対者シミュレーションフレームワークCobalt Strikeを使用することが特筆される。
最新の攻撃セットは、アフリカとカリブ海の政府を標的とし、東南アジアの高プロファイルなメールアカウントを乗っ取り、フィッシングメールを送信して新たな標的を感染させる手法を採用している。これらのメッセージには、Royal Road Rich Text Format(RTF)ウェポナイザーを利用してダウンローダー「5.t」をドロップする悪意のある添付ファイルが含まれており、攻撃者がターゲット環境に関する情報を収集するためにCobalt Strikeを起動する。
Palo Alto Networksは、2022年末から中東、アフリカ、アジアの外交使節団と政府を標的としたOperation Diplomatic Specterというキャンペーンの詳細を明らかにし、これが中国の脅威アクターTGR-STA-0043(以前のCL-STA-0043)に関連していることを発見した。Sharp Dragonのアフリカへの活動のシフトは、中国が大陸全体で影響力を拡大しようとする大規模な努力の一環である。
Googleが所有するMandiantは、中国が諜報活動を隠蔽し、高価値ネットワークへのアクセスを獲得し維持する成功率を高めるために、オペレーショナルリレーボックスネットワーク(ORB)と呼ばれるプロキシネットワークを使用していることを強調した報告書を発表した。
【ニュース解説】
中国に関連する脅威アクターであるSharp Pandaが、アフリカとカリブ海の政府機関を対象にサイバー諜報活動を拡大していることが明らかになりました。このキャンペーンでは、Cobalt Strike Beaconをペイロードとして使用し、C2(コマンド&コントロール)通信やコマンド実行などのバックドア機能を可能にしながら、独自のツールの露出を最小限に抑えています。イスラエルのサイバーセキュリティ企業Check Pointがこの活動を「Sharp Dragon」として追跡しており、慎重なターゲティングと同時に偵察努力を広げていると述べています。
Sharp Dragonは、2021年6月に東南アジアの政府を標的としてWindowsシステムにバックドア「VictoryDLL」を展開した際に初めて明らかになりました。その後、東南アジアの高プロファイルな政府機関を標的とし、Soulモジュラーマルウェアフレームワークを配信して、アクター制御サーバーから追加コンポーネントを受け取り情報収集を行っています。Soulバックドアは、Gh0st RATなど、中国の脅威アクターと関連するマルウェアや公開ツールの機能を取り入れて開発されています。
このキャンペーンの特徴は、1-dayセキュリティの脆弱性を悪用してインフラストラクチャに侵入し、後でC2サーバーとして使用すること、そしてカスタムバックドアよりも正規の敵対者シミュレーションフレームワークCobalt Strikeを使用することです。最新の攻撃では、アフリカとカリブ海の政府を標的とし、東南アジアの高プロファイルなメールアカウントを乗っ取り、フィッシングメールを送信して新たな標的を感染させる手法を採用しています。これらのメッセージには、Royal Road Rich Text Format(RTF)ウェポナイザーを利用してダウンローダー「5.t」をドロップする悪意のある添付ファイルが含まれており、攻撃者がターゲット環境に関する情報を収集するためにCobalt Strikeを起動します。
この活動の背景には、中国がアフリカ大陸全体で影響力を拡大しようとする大規模な努力があります。これらの攻撃は、中国のより広いソフトパワーと技術的アジェンダ、特に通信セクター、金融機関、政府機関などの重要分野に焦点を当てた地域でのプレゼンスと影響力を強化する努力と一致しています。
また、Googleが所有するMandiantによる報告書では、中国がオペレーショナルリレーボックスネットワーク(ORB)と呼ばれるプロキシネットワークを使用して諜報活動を隠蔽し、高価値ネットワークへのアクセスを獲得し維持する成功率を高めていることが強調されています。これらのネットワークを利用することで、諜報活動を隠蔽し、より目的に合った、隠密性が高く、効果的な操作を行うことが可能になります。
このようなサイバー諜報活動の拡大は、対象国にとって重大なセキュリティ上の脅威をもたらし、国際的なサイバーセキュリティの枠組みや対策の強化を促す可能性があります。また、サイバー諜報の手法や戦略の進化に対応するために、国際的な協力や情報共有の重要性がさらに高まることが予想されます。
from New Frontiers, Old Tactics: Chinese Espionage Group Targets Africa & Caribbean Govts.
