中国と関連があるとされる国家支援の脅威アクターが、2023年11月から2024年4月にかけて台湾の政府、学術、技術、外交機関を対象としたサイバースパイ活動を行っている。この活動はRecorded FutureのInsikt GroupによってRedJuliettという名前で追跡されており、福州、中国を拠点として東アジア国家に関連する情報収集目的で運用されていると説明されている。この集団は、Flax TyphoonやEthereal Pandaという名前でも追跡されている。対象となった他の国にはジブチ、香港、ケニア、ラオス、マレーシア、フィリピン、ルワンダ、韓国、米国が含まれる。これまでに、台湾、ラオス、ケニア、ルワンダの政府機関を含む24の被害組織がこの脅威アクターのインフラと通信していることが観察されている。また、少なくとも75の台湾の組織が広範な偵察と後続の悪用の対象となっていると推定されている。
このグループは、ファイアウォール、ロードバランサー、企業用仮想プライベートネットワーク(VPN)製品などのインターネットに面した機器を初期アクセスのための対象とし、WebおよびSQLアプリケーションに対してSQLインジェクションやディレクトリトラバーサルの脆弱性を利用しようと試みている。CrowdStrikeやMicrosoftによって以前に文書化されたように、RedJuliettはオープンソースソフトウェアのSoftEtherを使用して被害者ネットワークから悪意のあるトラフィックをトンネリングし、地を這うような(LotL)技術を利用してレーダーをかわすことで知られている。このグループは少なくとも2021年半ばから活動していると考えられている。
さらに、RedJuliettはSoftEtherを使用して、仮想プライベートサーバー(VPS)プロバイダーからリースされた脅威アクターが管理するサーバーと、3つの台湾の大学に属する侵害されたインフラを運用するための運用インフラを管理している。成功した初期アクセスの後、China Chopperウェブシェルを持続的なアクセスのために展開するほか、devilzShell、AntSword、Godzillaなどのオープンソースウェブシェルも使用される。いくつかの事例では、DirtyCow(CVE-2016-5195)として知られるLinuxの権限昇格の脆弱性の悪用も含まれている。
RedJuliettは、台湾の経済政策や他国との貿易および外交関係に関する情報を収集することに関心があると推定されている。RedJuliettを含む多くの中国の脅威アクターは、これらのデバイスが限定的な可視性とセキュリティソリューションを持っており、初期アクセスを拡大する効果的な方法であるため、インターネットに面したデバイスを標的にしていると考えられている。
【ニュース解説】
2023年11月から2024年4月にかけて、台湾の政府、学術、技術、外交機関を含む75の組織が、中国と関連があるとされる国家支援の脅威アクターによるサイバースパイ活動の標的となりました。この活動は、Recorded FutureのInsikt Groupによって「RedJuliett」という名前で追跡されており、中国福州を拠点として、台湾に関連する情報収集を目的としているとされています。この集団は、Flax TyphoonやEthereal Pandaという名前でも知られています。
RedJuliettは、ファイアウォール、ロードバランサー、企業用VPN製品などのインターネットに面した機器を初期アクセスの対象とし、WebおよびSQLアプリケーションに対するSQLインジェクションやディレクトリトラバーサルの脆弱性を利用しようと試みています。また、オープンソースソフトウェアのSoftEtherを使用して被害者ネットワークから悪意のあるトラフィックをトンネリングし、地を這うような技術を利用して検出を避ける手法が確認されています。
このグループの活動は、台湾の経済政策や他国との貿易および外交関係に関する情報収集に関心があることを示しています。インターネットに面したデバイスを標的にすることで、限定的な可視性とセキュリティソリューションの不足を利用し、初期アクセスを効果的に拡大していると考えられます。
このようなサイバースパイ活動は、対象となる組織にとって重大なセキュリティリスクをもたらします。機密情報の漏洩は、経済的損失や外交関係の悪化など、広範な影響を及ぼす可能性があります。また、サイバースパイ活動の増加は、国際的な緊張の高まりにもつながる恐れがあります。
この事態に対処するためには、組織はセキュリティ対策を強化し、特にインターネットに面したデバイスのセキュリティを確保することが重要です。また、国際的な協力を通じてサイバーセキュリティの情報共有を促進し、脅威に対する共通の対策を講じることが求められます。長期的には、サイバースペースにおける国際的な規範やルールの確立が、このような脅威に対処する鍵となるでしょう。
from RedJuliett Cyber Espionage Campaign Hits 75 Taiwanese Organizations.
