中国系ハッキング・グループが Zoho の脆弱性を介して世界のインフラを狙っている

Hackers with Chinese links breach defense, energy targets, including one in US

2021/11/01 CyberScoop — 中国政府系のハッキング・グループと、類似した戦術とツールを用いたスパイ活動により、世界各地の防衛/教育/エネルギー/医療などの9つの組織が、9月以降に侵入を許していたことが、新たな調査で明らかになった。日曜日に Palo Alto Networks は、米国 National Security Agency の Cybersecurity Collaboration Center の協力を得て、この調査結果を発表した。同センターは、主に防衛関連企業と協力して脅威情報の収集と共有を行っている。

Palo Alto Networks によると、被害者の中に米国の組織も含まれているが、9つの組織の名前は明らかにされていない。同社は、「脅威アクターの主な目的は、ネットワークへの持続的なアクセスの獲得と、侵害された組織からの機密文書の収集/流出だと考えられる」と述べている。

今回の調査は、Department of Homeland Security の Cybersecurity and Infrastructure Security Agency が、FBI および Coast Guard Cyber Command と発表した、9月16日の警告を受けてのものだ。この警告は、外国政府の支援を受けたハッカーたちが、Zoho のパスワード管理製品である ManageEngine ADSelfService Plus の脆弱性を積極的に利用している可能性を指摘したものだ。なお、Zoho は 9月6日に、この脆弱性に対するパッチを発行している。

Palo Alto Networks によると、この警告の直後である 9月22日に、同じ脆弱性を狙った別のキャンペーンが始まり、10月上旬まで続いた可能性が高いという。この調査結果は、CNNが最初に報じている。

Palo Alto Networksは、この明らかなスパイ活動の背後にいる組織/人物については断言できないとしている。しかし、ハッカーたちは、Emissary Panda/APT27/Threat Group 3390 などの、中国のハッキング・グループと同様の戦術とツールを使用していた。

このグループは、古いツールを効率よく改造し、欧米以外の国をターゲットにしていることで知られており、ランサムウェアにも着手し始めていると思われる。

今回の犯行では、中国語で書かれた Web シェル (ハッカーが標的の内部に留まるために使用するスクリプト) が使用されている。Palo Alto Networks は、「ハッカーたちは数百のターゲット候補をスキャンしている。そして、少なくとも 370の米国組織が、脆弱な Zoho サーバーを特定するための、広範なスキャニングに含まれていた」と述べている。

米国の National Security Agency (NSA) で Director of Cybersecurity を務める Rob Joyce は、このレポートに賛同している。7月に米国政府は、中国が Microsoft Exchange Server の欠陥を突き、ランサムウェア攻撃を実施したことで、何万人もの犠牲者がでたと非難し、サイバースパイ問題に関する中国への圧力を強めた。しかし、中国サイドは、このような疑惑を日常的に否定している。

この問題に関しては、9月9日の「Zoho 警告:ManageEngine ADSelfService Plus ゼロデイ脆弱性の悪用」と、9月16日の「FBI/CISA 勧告:Zoho の深刻な脆弱性 CVE-2021-40539 が狙われている」で追跡しています。また、9月26日には「米ヒューストン港湾局への攻撃は Zoho の脆弱性を悪用する国家支援脅威アクターの仕業?」というインシデントも起きているようです。よろしければ、ご参照ください。

%d bloggers like this: