Chinese Hacking Group APT41 Infiltrates Global Shipping and Tech Sectors, Mandiant Warns
2024/07/18 SecurityWeek — ヨーロッパとアジアの海運/ロジスティクス/テクノロジー/自動車産業の組織に侵入したとして摘発された、中国政府が支援する多発ハッキング・チーム APT41 によるマルウェア攻撃が、大規模なレベルで復活していることを、Mandiant の研究者たちが指摘している。Mandiant の警告によると、侵入された組織の大部分は英国/イタリア/スペイン/トルコ/タイ/台湾にあるという。これらの組織に侵入した APT41 は、遅くとも 2023年以降において、不正アクセスを長期にわたって維持することに成功しているようだ。
調査結果を文書化した技術報告書の中で Mandiant は、「APT41 (Barium/Wicked Panda/Winnti) は、シンガポールなどの国々の、類似の組織に対しても偵察活動を行っており、標的を拡大する可能性がある」と述べている。
このグループは、国家が支援するスパイ活動と、金銭的な動機による侵入の両方を行う、二重の役割を持つ活動で知られている。 スパイ活動の標的としては、ヘルスケア/ハイテク/テレコミュニケーションなどの経済的に重要なセクターが含まれる。
これまでにも APT41 は、ソフトウェア・サプライ・チェーン侵害/UEFIファームウェアのインプラント/窃取したデジタル証明書の悪用などを行ってきた点に、注目すべきだ。
新たに観測された攻撃で APT41 は、Tomcat Apache Manager サーバ上でウェブシェルを使用してドロッパーを実行し、Command and Control 通信用のバックドアを展開したと、Mandiant は述べている。
続いて APT41 は、ハンズオン・キーボード活動を行い、フォレンジック痕跡を最小限に減らす、DUSTTRAP と呼ばれる多段階プラグイン・フレームワークを使用し、また、Oracle データベースから盗み出したデータをエクスポートする、コマンドライン・ユーティリティを使用していた。
Mandiant の研究者たちは、「復号化されたペイロードは、 APT41 が管理する Command and Control インフラもしくは、侵害済みの Google Workspace アカウントと、通信チャネルを確立するよう設計されており、悪意のアクティビティと合法的なトラフィックを融合させていた」と説明している。
Mandiant が公開したものには、ユーザー組織における APT41 感染の検出するための、IoC (indicators of compromise) とフォレンジック・データも含まれる。
APT41 は長年にわたり、ソフトウェアとビデオゲームの企業や、政府/大学/シンクタンク/非営利団体/香港の民主化活動家などの、世界中の数千もの組織へのハッキングを行ってきている。
APT41 の活動は 10年以上にも及び、米国/オーストラリア/ブラジル/チリ/香港/インド/インドネシア/日本/マレーシア/パキスタン/シンガポール/韓国/台湾/タイ/ベトナムなどの国々で被害者を生み出してきた。
米国司法省は、中国人である Zhang Haoran/Tan Dailin/Jiang Lizhi/Qian Chuan/Fu Qiang を起訴し、APT41 のハッキング活動に関連付けている。
そういえば、このところ名前を見なかった APT41 ですが、新たな活動を開始したようです。このブログにおける直近の記事は、2023/07/20 の「WyrmSpy/DragonEgg スパイウェア:Android ユーザーを狙う APT41 の新戦略」ですので、約1ぶりの再登場となります。Mandiant が徹底的に追跡しているようなので、それなりの侵害が発生していると予測できます。よろしければ、同社のレポート APT41, A Dual Espionage And Cyber Crime Operation と、APT41 で検索を、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.