Last Updated on 2024-06-26 20:34 by 荒木 啓介
2021年から2023年にかけて、中国と北朝鮮に繋がりがあるとされる脅威アクターが、世界中の政府機関や重要インフラセクターを標的にランサムウェアとデータ暗号化攻撃を行っている。これらの攻撃は、ChamelGang(別名CamoFei)と関連付けられる活動と、以前に中国と北朝鮮の国家支援グループに帰属された活動とが重なる二つのクラスターに分けられる。セキュリティ企業SentinelOneとRecorded Futureが共同で報告した。
ChamelGangは、2022年にインドの全インド医科学研究所(AIIMS)とブラジル大統領府をCatBランサムウェアを使用して攻撃し、東アジアの政府機関とインド亜大陸の航空組織を標的にした。このグループは、情報収集、データ盗難、金銭的利益、サービス拒否(DoS)攻撃、情報操作など多岐にわたる動機で活動していると評価されている。また、BeaconLoader、Cobalt Strike、AukDoorやDoorMeなどのバックドア、そしてCatBというランサムウェアを含む多様なツールを保有している。
2023年に観測された攻撃では、BeaconLoaderの更新版を使用してCobalt Strikeを配布し、追加のツールのドロップやNTDS.ditデータベースファイルの抽出などの後続活動を行っている。ChamelGangが使用するカスタムマルウェア、DoorMeやMGDrive(macOSバリアントはGimmickと呼ばれる)は、他の中国の脅威グループとも関連がある。
もう一方の侵入セットは、Jetico BestCryptとMicrosoft BitLockerを使用し、北米、南米、ヨーロッパの様々な産業分野に影響を与えるサイバー攻撃に関与している。これらの攻撃は、APT41として知られる中国のハッキンググループと、Andarielとして知られる北朝鮮のアクターに帰属される戦術と一致している。セキュリティ研究者によると、ランサムウェアを使用することで、サイバー犯罪とサイバー諜報の境界が曖昧になり、敵対国に戦略的および運用的な利点を提供している。
【ニュース解説】
2021年から2023年にかけて、中国と北朝鮮に繋がりがあるとされる脅威アクターが、世界中の政府機関や重要インフラセクターを標的にランサムウェアとデータ暗号化攻撃を行っていることが、セキュリティ企業SentinelOneとRecorded Futureの共同報告で明らかになりました。これらの攻撃は、ChamelGang(別名CamoFei)と関連付けられる活動と、以前に中国と北朝鮮の国家支援グループに帰属された活動とが重なる二つのクラスターに分けられます。
ChamelGangは、情報収集、データ盗難、金銭的利益、サービス拒否(DoS)攻撃、情報操作など多岐にわたる動機で活動していると評価されています。このグループは、BeaconLoader、Cobalt Strike、AukDoorやDoorMeなどのバックドア、そしてCatBというランサムウェアを含む多様なツールを保有しています。特に、CatBランサムウェアはブラジルとインドでの攻撃に使用されたことが確認されています。
一方、もう一つの攻撃クラスターは、Jetico BestCryptとMicrosoft BitLockerを使用したサイバー攻撃に関与しており、北米、南米、ヨーロッパの様々な産業分野に影響を与えています。これらの攻撃は、APT41として知られる中国のハッキンググループと、Andarielとして知られる北朝鮮のアクターに帰属される戦術と一致しています。
ランサムウェアを使用することで、サイバー犯罪とサイバー諜報の境界が曖昧になり、敵対国に戦略的および運用的な利点を提供しています。このような攻撃は、金銭的利益の追求、混乱の引き起こし、攻撃の誤認、証拠の隠滅など、様々な目的で行われています。
この状況は、国際的なサイバーセキュリティの脅威が高まっていることを示しており、政府機関や重要インフラを守るためには、国際的な協力と情報共有、そして先進的なセキュリティ対策の強化が急務です。また、ランサムウェア攻撃の増加は、企業や組織がサイバーセキュリティ教育と従業員の意識向上に投資することの重要性を再確認させます。長期的には、サイバー攻撃の手法が進化し続ける中で、防御側も技術的、戦略的に進化し続ける必要があります。
from Chinese and N. Korean Hackers Target Global Infrastructure with Ransomware.
