Last Updated on 2024-06-18 14:40 by 荒木 啓介
中国のサイバースパイグループ「Velvet Ant」が東アジアの大企業から重要なデータを盗むために数年にわたる静かなキャンペーンを展開していたことが明らかになった。このキャンペーンは、被害者のネットワーク上での持続性を維持するために脅威アクターが講じた手段の範囲において特筆すべきである。セキュリティ会社Sygniaの研究者が組織の環境から脅威アクターを排除したが、Velvet Antはすぐに再び現れ、以前に植え付けたマルウェアを介してネットワークにアクセスした。このグループは、特にWindows Server 2003のレガシーシステムにPlugXリモートアクセストロイの木馬をインストールしていた。
Sygniaの調査によると、Velvet Antは感染したシステムから新しいWindowsシステムに横断移動し、エンドポイント検出と対策(EDR)保護を無効にした後、それらにもPlugXをインストールした。攻撃者は、オープンソースの侵入テストとエクスプロイト開発ツール「Impacket」を使用して、侵害されたホスト上で任意のコマンドを実行した。Sygniaのチームは、数十のシステムを再イメージ化し、多くのレガシーシステムを廃止する作業を行ったが、Velvet Antの活動の兆候が再び観察された。
その後の調査で、Velvet Antが以前に内部C2(コマンドアンドコントロール)サーバーとして機能するように設定したレガシーファイルサーバーを介してシステムと通信していたことが判明した。Sygniaの研究者は、脅威アクターがネットワーク内の特定のサーバーとワークステーションにのみアクセスし、アプリケーションとネットワークレベルでの技術的偵察を行っていたと述べている。また、セキュリティベンダーは、APTおよび国家支援アクターに対する露出を軽減するために、レガシーシステムの廃止と交換を推奨している。
【ニュース解説】
中国のサイバースパイグループ「Velvet Ant」が、東アジアの大企業を対象に数年間にわたり静かにデータ窃取を行うキャンペーンを展開していたことが、セキュリティ会社Sygniaの研究者によって明らかにされました。このキャンペーンの最も注目すべき点は、脅威アクターが被害者のネットワーク上での持続性を維持するために講じた手段の範囲です。特に、レガシーシステムや監視されていないシステムを見つけ出し、感染させることで、繰り返しの排除試みにもかかわらず、ネットワーク内に留まり続けることに成功しました。
Velvet Antは、特に古いWindows Server 2003システムにPlugXリモートアクセストロイの木馬をインストールし、これらの感染したシステムから新しいWindowsシステムへと移動しました。攻撃者は、エンドポイント検出と対策(EDR)保護を無効にし、さらにPlugXをインストールすることで、ターゲットシステムへのアクセスを確立しました。また、オープンソースの侵入テストとエクスプロイト開発ツール「Impacket」を使用して、侵害されたホスト上で任意のコマンドを実行しました。
Sygniaのチームは、数十のシステムを再イメージ化し、多くのレガシーシステムを廃止する作業を行いましたが、Velvet Antの活動の兆候が再び観察されました。その後の調査で、Velvet Antが以前に内部C2(コマンドアンドコントロール)サーバーとして機能するように設定したレガシーファイルサーバーを介してシステムと通信していたことが判明しました。
この事件は、サイバーセキュリティの分野における複数の重要な教訓を提供します。まず、レガシーシステムや監視されていないシステムは、攻撃者にとって隠れやすい場所となり得るため、組織はこれらのシステムの廃止や更新に努める必要があります。また、攻撃者は非常に柔軟で適応能力が高いため、セキュリティ対策は常に進化し続ける必要があります。さらに、内部C2サーバーの使用は、攻撃者がネットワーク内で検出されにくくなるため、組織は内部通信の監視を強化する必要があります。
このようなサイバースパイ活動は、企業や国家のセキュリティにとって深刻な脅威をもたらします。重要なデータの窃取は、経済的損失や競争上の不利益につながる可能性があります。そのため、サイバーセキュリティは単なるITの問題ではなく、組織全体の戦略的な優先事項である必要があります。この事件は、サイバーセキュリティの脅威が常に進化していることを示し、組織が警戒を怠らず、最新のセキュリティ対策を講じることの重要性を強調しています。
from China's 'Velvet Ant' APT Nests Inside Multiyear Espionage Effort.
