カナダのサイバーセキュリティセンターと米国連邦捜査局(FBI)は、中国関連のSalt Typhoonアクターによるサイバー攻撃について、主要な世界の通信プロバイダーを標的にしたサイバースパイ活動の一環として警告を発しました。
攻撃者は、2025年2月中旬にカナダの通信企業に登録された3つのネットワークデバイスから設定ファイルにアクセスするために、重大なCisco IOS XEソフトウェア(CVE-2023-20198、CVSSスコア: 10.0)を悪用しました。
脅威アクターは、ネットワークからのトラフィック収集を可能にするために、少なくとも1つのファイルを変更してジェネリックルーティングカプセル化(GRE)トンネルを設定したとも言われています。標的となった企業の名前は明らかにされていません。
通信セクターを超えて標的にしている可能性が高いと述べ、カナダのデバイスを標的にすることで、脅威アクターが侵害されたネットワークから情報を収集し、追加のデバイスを侵害するための手段として利用する可能性があるとしています。
「一部のケースでは、脅威アクターの活動がネットワーク偵察に限定されている可能性が非常に高いと評価しています」と警告しています。
また、エッジネットワークデバイスは、中国の国家支援を受けた脅威アクターが通信サービスプロバイダーに侵入し、持続的なアクセスを維持するための魅力的なターゲットであり続けていると指摘しました。
これらの発見は、Recorded Futureの以前の報告と一致しており、CVE-2023-20198とCVE-2023-20273を悪用して米国、南アフリカ、イタリアの通信およびインターネット企業に侵入し、GREトンネルを設定して長期的なアクセスとデータ流出を行っていることが詳述されています。
英国NCSCがFortinetデバイスを標的にしたSHOE RACKおよびUMBRELLA STANDマルウェアについて警告#
この展開は、英国国家サイバーセキュリティセンター(NCSC)が、Fortinet製のFortiGate 100Dシリーズのファイアウォールを標的にしたSHOE RACKおよびUMBRELLA STANDと呼ばれる2つの異なるマルウェアファミリーを明らかにしたことに伴うものです。
SHOE RACKは、侵害されたデバイスを通じてリモートシェルアクセスとTCPトンネリングを行うためのポストエクスプロイトツールであり、UMBRELLA STANDは攻撃者が制御するサーバーから発行されたシェルコマンドを実行するように設計されています。
興味深いことに、SHOE RACKはreverse_shellという公開されているツールに部分的に基づいており、偶然にも、中国関連の脅威クラスターであるPurpleHazeによってWindowsインプラントGoReShellを開発するために再利用されています。これらの活動が関連しているかどうかは現在のところ不明です。
NCSCは、UMBRELLA STANDと、以前にオランダ軍のネットワークを狙ったサイバー攻撃で中国国家支援のハッカーによって使用されたバックドアであるCOATHANGERとの間にいくつかの類似点を特定したと述べています。
翻訳元: https://thehackernews.com/2025/06/china-linked-salt-typhoon-exploits.html