Decade-Long Cyber Assault on Asian Telecoms Traced to Chinese State Hackers
2024/06/20 SecurityWeek — 長年にわたってアジア某国の通信会社が、中国のスパイ集団に帰属する悪意のツールの標的となっていることが、Symantec のレポートにより判明した。遅くとも 2021年以降から、通信事業者/通信事業者にサービスを提供する企業/大学などを標的とするキャンペーンが発生し、Coolclient/Quickheal/Rainyday などのカスタム・バックドアが使用されてきた。過去においても、このカスタム・バックドアは、中国に支援される既知の脅威アクターたちと関連付けられてきたが、その中には、10年以上も活動しているグループも含まれるという。
Mustang Panda (別名:Earth Preta/RedDelta) に関連する Coolclient は、キーロギング/ファイル操作/C&C (command-and-control) サーバとの通信などをサポートする。
Quickheal バックドアは、RedFoxtrot(別名:APT15/Nomad Panda) に関連しており、C&C から受信したコマンドに基づき、被害者の情報を窃取してリモートシェルを起動し、ファイルを操作する。
Rainyday は、Naikon (別名:Firefly) に関連付けられたバックドアであり、一般的に、正規の F-Secure 実行ファイルを用いてサイドロードされ、偵察/横移動/認証情報窃取/ペイロード展開/データ流出などを可能にする。
新たに発見されたキャンペーンの一環として、カスタム・バックドアの他に、キーロガー/ポート・スキャンツール/LLMNR/NBT-NS/MDNS ポイゾナーも使用されている。このことから推定されるのは、この脅威アクターが、レジストリをダンプして認証情報を抽出し、リモート・アクセスのために RDP を有効化していることである。
Symantec は、「今回のキャンペーンで使用されたツールは、複数の中国グループとの関連性が高く、展開されたカスタム・バックドアのうちの少なくとも3つは、中国のスパイ・グループにより独占的に使用されていると考えられる。今回のキャンペーンに関与したアクター間の、つながりについては依然として不明である」と述べている。
同社によると、今回の攻撃は、他の APT から入手/借用したツールを使って、単一の脅威アクターにより組織化された可能性があるという。しかし、脅威アクターたちが協力していた可能性や、互いに独立して活動していた可能性もある。
Symantec は、「現時点では、この侵入キャンペーンの最終的な動機は不明だ。攻撃者は、対照される国の通信セクターについて、情報を収集していたのかもしれないが、盗聴の可能性も否定できない。あるいは、その国の重要インフラを破壊するための能力を、構築しようとしていた可能性もある」と結論付けている。
ありとあらゆる手段を用いて、ターゲットに深く長く潜み続ける中国の APT は、とても恐ろしい存在です。その背景には、きわめて高度な技術力があるはずです。つい先日の 2024/06/18 に、「中国のサイバー Offense/Defense パワー:世界の脆弱性情報エコシステムとの関係を考察する」という記事をポストしています。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.