Microsoft 報告:中国ハッカーが使用する 42 の悪意の Web ドメインが押収された

Microsoft Seizes 42 Malicious Web Domains Used By Chinese Hackers

2021/12/07 TheHackerNews — 米国バージニア州の連邦裁判所が発行した令状に基づき、米国などの28カ国の組織を標的とする、中国のサイバー・スパイ集団が使用していた42個のドメインを押収されたと、Microsoft が発表した。同社は、この悪質なスパイ行為について、Nickel と呼ばれるグループおよび、APT15/Bronze Palace/Ke3Chang/Mirage/Playful Dragon/Vixen Panda と呼ばれているグループの仕業だとしている。この APT アクターは、2012年ごろから活動していると考えられている。

Microsoft の VP for Customer Security and Trust である Tom Burt は、「Nickel が標的とするのは、北米/中米/南米/カリブ海/ヨーロッパ/アフリカの外交機関や民間企業である。Nickel のターゲットと、中国の地政学的利益には、しばしば相関関係が認められる」と述べている。

不正なインフラを用いるハッキング・クルーは、侵害したマシンへの長期的なアクセスを維持し、2019年9月に遡るデジタル・スパイ活動の一環として、政府機関/シンクタンク/人権団体を対象とした、情報収集を目的とした攻撃を行ってきた。

このサイバー攻撃について Microsoft は、リモート・アクセス・サービスへの侵害や、未パッチの VPN アプライアンス/Exchange Server/SharePoint システムの脆弱性を利用して、”侵入、監視、データ窃盗を容易にする検出困難なマルウェアを挿入する “など、多数の手法を用いた「非常に巧妙な攻撃」であると説明しています。

このサイバー攻撃について Microsoft は、高度なものと表現している。つまり、リモート・アクセス・サービスへの侵害や、未パッチの VPN アプライアンス/Exchange Server/SharePoint システムの脆弱性の悪用などの、さまざまな手法が用いられ、データ窃取と監視を容易にするための、検出困難なマルウェアが挿入されると述べている。

Nickel は、被害者のアカウントに侵入するために、Mimikatz や WDigest といった資格情報ダンプ・ツールや盗用ツールを導入した後に、カスタム・マルウェアを配信していた。このカスタム・マルウェアにより、被害者のネットワーク上で長期間にわたって活動を継続し、定期的なファイルの流出や、任意のシェルコードの実行などに加えて、侵害した資格情報を用いた Microsoft 365 アカウントからのメール収集などが行われていた。

Command and Comtrol に、用いられた複数のバックドア・ファミリーは、Neoichor/Leeson/NumbIdea/NullItch/Rokumとして追跡されている。

今回の攻撃は、近年に APT15 グループが行ってきた広範な監視ソフトウェア・キャンペーンのリストに追加される。2020年7月には、モバイル・セキュリティ企業の Lookout が、4つのトロイの木馬アプリ (SilkBean/DoubleAgent/CarbonSteal/GoldenEagle) を公開したが、それらはウイグルとチベットのコミュニティを標的とするものだった。

Microsoft は、「世界における中国の影響力が増大し続け、中国がより多くの国と二国間関係を構築し、一帯一路のためのパートナーシップを拡大する中で、中国を拠点とする脅威アクターは、従来からの経済スパイや情報収集目的のために、政府/外交/NGO などを標的にして、新たな知見を得ようとするだろう」と述べている。

昨日にも、「Google が宣戦布告:巨大なロシアン・ボットネット Glupteba を潰せ」という記事をポストしましたが、法的執行者と大手ベンダーは、防御するだけではなく、脅威アクターたちのインフラを潰しにいくモードへと移行しているようです。最近の、中国が絡んだトピックとしては、「APT グループによる RTF インジェクションは新たなフィッシング手法になるのか?」や、「Zoho 警告:ManageEngine の認証バイパスの脆弱性に早急にパッチを」などがあります。

%d bloggers like this: