Salt Typhoon Uses Citrix Flaw in Global Cyber-Attack
2025/10/20 InfoSecurity — Salt Typhoon に関連するサイバー侵入が、サイバー・セキュリティ研究者たちにより確認された。この中国拠点のグループによる攻撃は、Citrix NetScaler Gateway の脆弱性を悪用するものだ。Darktrace が観測した攻撃活動では、このグループの常用手法である DLL サイドローディングやゼロデイ・エクスプロイトといった高度な手法が用いられていた。それにより、標準的な検知手段の回避とシステムへの侵入が達成される。
グローバルにおける持続的な脅威
Salt Typhoon (別名:Earth Estries/GhostEmperor/UNC2286) は、遅くとも 2019 年から活動している。このグループは、80カ国以上の通信/エネルギー/政府システムといった、重要セクターに甚大な被害をもたらすサイバー攻撃に関与している。米国が頻繁に標的となっているが、最近の活動では欧州/中東/アフリカにも広がっている。
この攻撃活動では、Citrix/Fortinet/Cisco などのベンダーの脆弱性が悪用されている。また、カスタム・マルウェアと高度な回避技術を用いた一連の攻撃では、標的ネットワークへの長期潜伏による機密データの収集と、重要サービスの妨害活動が行われている。
欧州の通信事業者が攻撃対象
10月20日付の最新アドバイザリの中で Darktrace は、Salt Typhoon の既知の TTP (tactics, techniques, and procedures) と一致する活動が、欧州の通信事業者への侵害において記録されたと述べている。
2025年7月に始まった Citrix NetScaler Gateway アプライアンスの脆弱性を悪用する攻撃は、組織内部の Citrix Virtual Delivery Agent ホストへと水平移動していった。そして攻撃者は発信元を隠すために、SoftEther VPN サービスに関連するインフラを悪用した。
この脅威アクターは、SNAPPYBEE (別名 Deed RAT) と特定されたバックドアを、DLL サイドローディングを介して展開した。それに加えて、Norton/Bkav/IObit などのアンチウイルス製品のプロセスに悪意のファイルを読み込ませ、信頼されたソフトウェアを装うことで検出の可能性を低減させていた。
こうして展開されたバックドアは、HTTP および未特定の TCP ベース・プロトコルを用いて Command-And-Control (C2) サーバと通信を確立した。HTTP トラフィックに含まれていたのは、Internet Explorer の User‑Agent ヘッダーおよび “/17ABE7F017ABE7F0” などの URI パターンである。C2 ドメインの一つである “aar.gandhibludtric[.]com” は、過去の Salt Typhoon のインフラに関連するものだ。
広範な影響
戦術/インフラ/マルウェアの重複に基づき、この活動は Salt Typhoon の過去の作戦に一致すると、研究者たちは評価している。この事例が示すのは、正規ソフトウェアの悪用と多層的な通信手法を用いる Salt Typhoon が、ステルス性と持続性に注力し続けていることだ。
Darktrace は、「攻撃者たちは、通常の運用に溶け込む傾向を強めている。したがって、微妙な逸脱の特定と、異なるシグナルの相関により、行動の異常を検知する必要がある。今回の侵入が示しているのは、シグネチャ照合だけではなく、異常検知に基づく防御が、初期段階の活動を可視化する上で極めて重要であることだ」と述べている。
Salt Typhoon という中国拠点の APT グループが、Citrix NetScaler Gateway の脆弱性を悪用しているようです。現時点では、CVE が特定されていないため、脆弱性の既知/未知は判断できません。
このグループは、DLL サイドローディングやゼロデイ攻撃といった高度な手法を用いて、セキュリティ製品の検知をすり抜けて侵入します。さらに、正規のソフトウェアや VPN サービスを悪用して通信経路を隠し、長期間にわたり情報を収集していたとされています。つまり、システムの脆弱性だけでなく、信頼されたツールを逆手に取るという戦術を用いていると、この記事は指摘しています。よろしければ、Salt Typhoon で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.