UAT-5918：台湾の重要インフラを狙う中国系APTグループ – Webシェルとオープンソースツールを駆使した新たなサイバー脅威

2025年3月22日15:38

サイバーセキュリティニュース

UAT-5918：台湾の重要インフラを狙う中国系APTグループ - Webシェルとオープンソースツールを駆使した新たなサイバー脅威 - innovaTopia - （イノベトピア）

Last Updated on 2025-03-24 10:17 by admin

Cisco Talosの研究者たちは、2023年から台湾の重要インフラを攻撃している新たな脅威アクター「UAT-5918」を発見した。この発表は2025年3月21日に行われた。

UAT-5918は情報窃取を目的とした長期的なアクセスの確立を動機とし、被害者環境での永続性を確立するためにWebシェルとオープンソースツールを組み合わせて使用している。標的は重要インフラだけでなく、情報技術、通信、学術機関、ヘルスケア分野にも及んでいる。

この脅威アクターは高度な持続的脅威（APT）グループと評価されており、Volt Typhoon、Flax Typhoon、Tropic Trooper、Earth Estries、Dalbitなどの中国のハッキンググループと戦術的な重複がある。

攻撃チェーンは、インターネットに公開されているパッチ未適用のWebおよびアプリケーションサーバーのN-day脆弱性を悪用して初期アクセスを取得し、その足がかりを使って複数のオープンソースツールを投下する。侵害後はFast Reverse Proxy（FRP）、FScan、In-Swor、Earthworm、Neo-reGeorgなどのツールを使用してリバースプロキシトンネルを設定し、攻撃者が制御するリモートホストを介して侵害されたエンドポイントにアクセスする。

さらに、Mimikatz、LaZagne、BrowserDataLiteなどのツールを活用して認証情報を収集し、RDP、WMIC、Impactを介してターゲット環境に深く侵入している。また、Chopper webシェル、Crowdoor、SparrowDoorも使用しており、後者の2つはEarth Estriesグループによって以前に使用されたものである。

研究者たちによると、UAT-5918の侵害後の活動は主に手動で行われており、情報窃取を主な目的としている。発見されたサブドメインやインターネットアクセス可能なサーバー全体にWebシェルを展開して、被害組織への複数の侵入ポイントを開いていることが明らかになっている。

from:UAT-5918 Targets Taiwan’s Critical Infrastructure Using Web Shells and Open-Source Tools

【編集部解説】

台湾の重要インフラを標的とする新たなサイバー脅威「UAT-5918」の発見は、東アジアにおけるサイバーセキュリティ情勢の緊張を改めて浮き彫りにしています。Cisco Talosの研究者たちによる詳細な分析から、この脅威アクターの特徴と手法が明らかになりました。

まず注目すべきは、UAT-5918の攻撃が少なくとも2023年から継続しているという点です。これは一過性の攻撃ではなく、長期的な情報窃取を目的とした計画的な作戦であることを示しています。被害者環境に長期間潜伏し続けるという特性は、高度な持続的脅威（APT）の典型的な特徴と言えるでしょう。

UAT-5918の攻撃手法で特筆すべきは、既知の脆弱性（N-day脆弱性）を狙う点です。これは「ゼロデイ攻撃」のように未知の脆弱性を利用するものではなく、パッチが公開されているにもかかわらず、まだ適用されていないシステムを標的にしています。このことは、適切なパッチ管理の重要性を改めて示すものと言えるでしょう。

複数の情報源によると、UAT-5918はVolt Typhoon、Flax Typhoon、Earth Estriesなど、中国政府が支援するとされるハッキンググループと戦術的な重複があることが指摘されています。特にVolt Typhoonは米国政府によって中国政府支援の脅威アクターと評価されており、米国の重要インフラを標的にしていることが知られています。また、Flax Typhoonは中国政府が支援する脅威アクターとして、中国企業「Integrity Technology Group」に関連付けられています。

UAT-5918の攻撃は台湾の重要インフラだけでなく、情報技術、通信、学術機関、ヘルスケアなど幅広い分野に及んでいます。これは単なるサイバー犯罪ではなく、地政学的な背景を持つ可能性を示唆しています。台湾の重要インフラを標的にすることは、地域の緊張関係の一部として解釈することもできるでしょう。

技術的な観点から見ると、UAT-5918は既存のオープンソースツールを巧みに組み合わせて攻撃を行っている点が特徴的です。FRPC、FScan、In-Swor、Earthworm、Neo-reGeorgなどのネットワークツールや、Mimikatz、LaZagneなどの認証情報収集ツールを活用しています。これらは専門家の間では知られたツールですが、一般のセキュリティ担当者にとっては検知が難しい場合もあります。

特に興味深いのは、BrowserDataLiteというブラウザベースの抽出ツールの使用です。このツールはWebブラウザからログイン情報、Cookie、閲覧履歴を盗むように設計されており、ユーザーの個人情報やアクセス権限を窃取するために使用されています。

Cisco Talosの研究者たちによると、UAT-5918の侵害後の活動は主に手動で行われており、情報窃取を主な目的としています。これは自動化されたボットネット攻撃とは異なり、人間のオペレーターが直接関与する高度な作戦であることを示しています。

このような脅威に対して、組織はどのように対応すべきでしょうか。まず最も重要なのは、定期的なセキュリティパッチの適用です。UAT-5918はパッチが適用されていない脆弱性を悪用していますので、適時のパッチ適用が最も効果的な防御策となります。

また、多層防御の考え方も重要です。ネットワークの異常な動きを検知するシステムの導入や、重要なシステムへのアクセス制限、定期的なセキュリティ監査なども効果的でしょう。特に、Webシェルの検知は重要な対策の一つとなります。

今回の事例は、サイバーセキュリティが国家安全保障と密接に関連していることを改めて示しています。技術的な対策だけでなく、国際的な協力や規制の枠組みも重要になってくるでしょう。

【用語解説】

N-day脆弱性：
パッチが公開された後も、ユーザーがそれを適用していない期間に存在する脆弱性のこと。ゼロデイ脆弱性と比べて対策が容易だが、パッチ管理の重要性を示している。

Webシェル：
攻撃者がサーバーに不正にアクセスするためのマルウェア。ドアの鍵穴に似ており、攻撃者はこれを通じてサーバー内部に侵入できる。

リバースプロキシトンネル：
内部ネットワークから外部へ接続を確立し、外部から内部へのアクセスを可能にする技術。正規の通信に紛れて攻撃者が内部に侵入する手段となる。

高度な持続的脅威（APT）：
特定の標的に対して長期間にわたり執拗に攻撃を仕掛ける脅威アクター。忍者のように潜伏し、機密情報を盗み続ける。

【参考リンク】

Cisco Talos（外部）
Ciscoのセキュリティ研究チーム。脅威インテリジェンスと脆弱性研究を提供している。

Microsoft Security（外部）
Microsoftのセキュリティソリューション。包括的な脅威保護と情報提供を行っている。

Trend Micro（外部）
セキュリティソフトウェアとサービスを提供する企業。脅威分析レポートも公開している。

【編集部後記】

サイバー攻撃の手法は日々進化しています。今回のUAT-5918の事例は、私たちの身近なシステムも標的になり得ることを示しています。皆さんの組織ではセキュリティパッチの適用状況はどうでしょうか？また、ブラウザのパスワード保存機能を利用している方も多いかもしれませんが、そのリスクについて考えたことはありますか？サイバーセキュリティは特別なものではなく、日常的な習慣の積み重ねが大切です。皆さんのセキュリティ対策について、ぜひSNSでシェアしていただければと思います。