~Sophos X-Ops、APT41やBackdoorDiplomacyなどの5つの有名な中国の脅威グループ間のつながりを特定~
~中国の攻撃者は、システムに常駐しスパイ活動を行うために、過去に特定されていない マルウェアを悪用~
サイバー攻撃を阻止する革新的なセキュリティソリューションのグローバルリーダーであるSophos(日本法人:ソフォス株式会社 東京都港区代表取締役足立達矢)は本日、「クリムゾンパレス作戦(Operation Crimson Palace):脅威ハンティングによって明らかになった、中国が支援するサイバー脅威グループによる東南アジアを標的とした複数のスパイ活動」と題するレポートを公開しました。このレポートでは、東南アジア諸国の政府高官を標的として約2年間にわたって実行されている非常に高度なスパイ活動の全容を紹介しています。Sophos X-Opsは、2023年にこの調査を開始しました。ソフォスのMDR(Managed Detection and Response)チームは、同じ組織を標的とした3つの異なるスパイ活動を発見しましたが、これらの2つの活動では、中国が支援している脅威グループ(BackdoorDiplomacy、APT15、そしてAPT41の下部組織であるEarth Longzhi)がこれまでに使用していた同じ戦術、手法、手順(TTP)が確認されました。
これらの脅威グループは、綿密な作戦を立て、多種多様なマルウェアやツールを利用し、政治、経済、軍事に関する機密情報だけでなく、特定の人物を偵察して情報を収集していました。ソフォスは、この一連の攻撃キャンペーンを「クリムゾンパレス」と命名しました。使用されていたマルウェアには、システムに常駐する機能がある過去に検出されていないマルウェアも含まれていました。ソフォスはこのマルウェアを「PocoProxy」と命名しました。
ソフォスの脅威ハンティングおよび脅威インテリジェンス担当ディレクターであるPaul Jaramilloは、これらの活動について次のように述べています。「これらの一連の攻撃群(クラスタ)は、中国の南シナ海における戦略に有利に進めるために必要な軍事や経済情報を収集し、中国の国益のために活動しています。このキャンペーンの3つのクラスタは、別個のグループによって実行されていますが、中国の中央権力からの指令の下、同じ標的に対して同時に攻撃を仕掛けていると考えられます。ソフォスが特定した3つの攻撃のうちの1つ(クラスタアルファ)では、マルウェアとTTPが別々に報告された4つの中国の脅威グループと重複していました。これまでの多くの調査でも、中国の攻撃者がインフラやツールを共有していることが分かっていますが、今回のキャンペーンは、中国の脅威グループが広範にわたってツールや攻撃手法を共有していることを改めて認識させるものとなりました。中国からのサイバー脅威に対する欧米政府各国政府による認識や警戒が高まっています。これらのグループ間の関係をソフォスが特定したことで、中国の単一のグループの攻撃のみに調査を集中させると、複数のグループが活動を連携させている重要な傾向を見逃すリスクがあることがわかりました。視野を広げることで、より効果的な防御が可能になります」
Sophos X-Opsは、2022年12月に初めて標的となった組織のネットワークで悪意のある活動を特定し、中国の脅威グループMustang Pandaが過去に利用していたデータ流出ツールを検出しました。ソフォスのMDRチームは、この悪意のある活動についてさらに詳細な調査を実施しました。2023年5月、Sophos X-Opsの脅威ハンティングチームにより、脆弱なVMWareの実行ファイルが発見され、解析の結果、標的のネットワークに3つの異なる攻撃(クラスタブラボー、クラスタチャーリー、およびクラスタアルファ)が行われていたことが判明しました。
クラスタアルファは2023年3月初旬から少なくとも2023年8月まで実行されており、アンチウイルス保護の無効化、権限の昇格、偵察を実行するさまざまなマルウェアが展開されていました。これらのマルウェアには、中国の脅威グループREF5961が使用していたEAGERBEEマルウェアをアップグレードしたバージョンも含まれています。クラスタアルファでは、中国の脅威グループBackdoorDiplomacy、APT15、Worok、TA428が使用しているTTPやマルウェアが使用されていました。
クラスタブラボーは、2023年3月の3週間のみ標的のネットワークで実行され、被害者のネットワークでラテラルムーブメントを行い、主にCCoreDoorと呼ばれるバックドアをサイドロードしていました。このバックドアは、攻撃者が外部と通信するための経路を確立し、重要な情報を見つけ、認証情報を外部に送信します。
クラスタチャーリーは、2023年3月から少なくとも2024年4月まで実行されており、主にスパイ行為や情報流出が実行されています。これらの活動では、Microsoftの実行ファイルを偽装し、攻撃者のC&Cインフラとの通信を確立する常駐ツール「PocoProxy」も展開されています。クラスタチャーリーは、スパイ活動のための軍事や政治関連の文書、ネットワーク内でアクセスできる範囲を広げるための認証情報やトークンなどの大量の機密データを外部に流出させるために実行されていました。クラスタチャーリーは、APT41の下部組織として報告されている中国の脅威グループ「Earth Longzhi」とTTPを共有しています。クラスタアルファとクラスタブラボーは活動を停止していますが、クラスタチャーリーは今も活動を続けています。
Jaramilloは、次のように述べています。「このキャンペーンでは、南シナ海を巡るサイバースパイ活動が積極的に展開されていることが確認されています。潤沢なリソースがある複数の脅威グループが、数週間から数か月をかけて一度に同じ重要な政府組織を標的にし、商用のツールと高度な独自のマルウェアを組み合わせて使用しています。これまでも、そして今でも、これらの脅威グループは、使用するツールを頻繁に変更しながら、組織の内部を自由に動き回っています。少なくとも1つのクラスタはまだ活発に活動しており、さらに監視を強めようとしています。このような中国の脅威グループは、同じツールを共有する傾向があるため、今回のキャンペーンで確認されたTTPや新しいマルウェアが、世界のその他の地域における中国のサイバー脅威グループの活動で再び利用される可能性があります。ソフォスは、これら3つの攻撃について調査を今後も継続し、発見した情報は今後も情報機関に報告していきます」
このスパイ活動のキャンペーンについては、Sophos.comで「クリムゾンパレス作戦(Operation Crimson Palace):脅威ハンティングによって明らかになった、中国が支援するサイバー脅威グループによる東南アジアを標的とした複数のスパイ活動」をご覧ください。
3つのクラスタについての詳細については、「クリムゾンパレス (Crimson Palace):技術的な詳解」(翻訳中)をご覧ください。
詳細情報
- 2024年上半期のアクティブアドバーサリーレポートでは、サイバー攻撃者の最新のTTP(戦術、手法、手順)を紹介しています。
- 「ソフォス脅威レポート2024年版」で中堅・中小企業に対する最大の脅威を参照してください。
- 脅威活動クラスタの使用による悪意のある活動のパターンの特定
- Sophos X-Opsのブログを購読し、Sophos X-Opsと画期的な脅威リサーチの詳細を確認してください。