Salt Typhoon Exploits Cisco, Ivanti, Palo Alto Flaws to Breach 600 Organizations Worldwide
2025/08/28 TheHackerNews — 中国に支援される APT である Salt Typhoon は、世界中の通信/政府/交通/宿泊/軍事インフラなどの組織の、ネットワークを標的とする攻撃を継続している。8月27日 (水) に共同公開されたサイバー・セキュリティ・アドバイザリには、「これらの攻撃者は、大手通信事業者の大規模なバックボーン・ルータ/プロバイダー・エッジ (PE) ルータ/カスタマー・エッジ (CE) ルータを標的としているが、侵害したデバイスや信頼できる接続を悪用して、他のネットワークに侵入することもあり得る。この攻撃者は、ネットワークへの永続的なアクセスを維持するために、ルータを改変することが多い」と記されている。
このレポートは 13カ国の当局から提供されたものであり、Salt Typhoon による悪意の活動は、3つの中国企業である Sichuan Juxinhe Network Technology /Beijing Huanyu Tianqiong Information Technology/Sichuan Zhixin Ruijie Network Technology に関連しているという。
それらの企業は、中国の諜報機関に対してサイバー関連の製品やサービスを提供しており、グローバルでの標的の通信や動きを、特定/追跡する手段を北京政府に提供している。この、データ窃取活動の標的は、通信事業者や ISP に集中しているという。
このセキュリティ勧告に共同で署名した国々には、オーストラリア/カナダ/チェコ/フィンランド/ドイツ/イタリア/オランダ/ニュージーランド/ポーランド/スペイン/日本/英国/米国が含まれている。
米国連邦捜査局 (FBI) サイバー部門の責任者である Brett Leatherman は、「Salt Typhoon グループは、遅くとも 2019年から活動しており、世界の通信におけるプライバシー/セキュリティ規範の侵害を目的とする、執拗なスパイ活動を展開している」と述べている。
オランダの情報機関/治安機関である MIVD と AIVD は、8月28日に発表した独自の警告の中で、「米国と比べて、オランダの組織は Salt Typhoon ハッカーから注目されていないが、この脅威アクターは、小規模 ISP やホスティング・プロバイダのルータへのアクセスを獲得している。しかし、それらのネットワークに脅威アクターが侵入したという証拠はない」と述べている。
英国の National Cyber Security Centre は、「遅くとも 2021年以降において、この活動は世界中の政府/通信/交通/宿泊/軍事インフラなどの、重要な分野の組織を標的としており、英国でも集中的な活動が観測されている」と述べている。
Wall Street Journal と Washington Post によると、このハッカー集団は標的を他の分野や地域に拡大し、米国の 200 組織含む、世界の 80カ国で 600以上の組織を攻撃しているようだ。
Salt Typhoon の活動と重複するものには、GhostEmperor/Operator Panda/RedMike/UNC5807 などがあり、インターネットに公開されたネットワーク・エッジデバイスにおける、Cisco の脆弱性 (CVE-2018-0171/CVE-2023-20198/CVE-2023-20273) や、Ivanti の脆弱性 (CVE-2023-46805/CVE-2024-21887)、Palo Alto Networks の脆弱性 (CVE-2024-3400) などを悪用して、イニシャル・アクセスを取得していることが確認されている。
米国の当局は、「この APT 攻撃者は、デバイスの所有者に関係なく、エッジ・デバイスを標的としている可能性がある。そのデバイスの所有者が、主要な標的と一致しない組織であっても、標的への攻撃経路として利用される可能性がある」と指摘している。
その後、侵害されたデバイスは、他のネットワークへの侵入で悪用される。場合によっては、デバイスのコンフィグが変更され、Generic Routing Encapsulation (GRE) トンネルが設定され、永続的なアクセスとデータの窃取が可能になっている。
Cisco に関連する、標的ネットワークへの永続的なアクセスでは、ACL を変更して制御下に IP アドレスを追加し、標準ポートと非標準ポートを開き、Linux コンテナでコマンドを実行することで実現される。これらのコマンドにより、ツールのステージング/ローカルでのデータ処理/環境内での横方向への移動が行われる。
さらに攻撃者は、Terminal Access Controller Access Control System Plus (TACACS+) などの認証プロトコルを悪用することで、ネットワーク・デバイス間での横方向の移動を可能にし、同時に広範な検出アクションを実行し、侵害したルータを介してトラフィックから認証情報などを窃取し、ネットワークの深部まで侵入していく。
当局は、「この APT 攻撃者は、侵害したシステムのネイティブ・ツールを悪用して PCAP (packet capture) を収集している。主な目的は、TCP ポート 49 番経由の TACACS+ トラフィックを捕捉することだったと考えられる。この TACACS+ トラフィックは認証に使用され、多くの場合において、ネットワーク機器の管理に利用される。したがって、高度な権限を持つネットワーク管理者のアカウントと認証情報も含まれるため、それを悪用する攻撃者は、アカウントの侵害と、ラテラル・ムーブメントを可能にすると考えられる」と述べている。
さらに Salt Typhoon は、Cisco IOS XR デバイス上の sshd_operns サービスを有効化してローカル・ユーザーを作成し、TCP/57722 経由でログインした後に、ホスト OS のルート権限を取得するための、sudo 権限を付与していることが確認されている。
この共同勧告に貢献した Google 傘下の Mandiant は、「この脅威アクターが通信システムに精通していることが、防御回避において優位性をもたらす独自の強みになっている」と述べている。
Google Threat Intelligence Group のチーフ・アナリストである John Hultquist は、「中国のサイバー・スパイ活動の中心には、請負業者/学者/仲介者などで構成されるエコシステムが存在する。請負業者は、有用なツールやエクスプロイトの開発に加え、侵入作戦における実行役としても機能している。彼らは、これらの活動の急速な進化と、前例のない規模への拡大に大きく貢献してきた」と、The Hacker News に述べている。
彼は、「このアクターは、通信業界だけではなく、宿泊施設や交通機関も標的にしていると報告されている。つまり、標的とする個人を、綿密に監視している可能性もある。これらの業界から得られる情報は、誰が誰と会話をしているのか、何処にいるのか、何処へ向かっているのかといった、全体像を把握するために悪用され得る」と指摘している。
中国に支援される APT グループ Salt Typhoon が、世界中の通信や政府などを継続的に標的化している状況を示す記事です。Cisco/Ivanti/Palo Alto Networks のルータやエッジ・デバイスなどの脆弱性が悪用され、不正アクセスが生じていると説明されています。また、TACACS+ 認証プロトコルを悪用して管理者権限の情報を盗み、横方向の移動を可能にする点も特徴です。こうした仕組みを悪用することで、ネットワーク深部まで侵入していると、この記事は指摘しています。よろしければ、Salt Typhoon で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.