コンテンツにスキップするには Enter キーを押してください

中国のハッカーがIvantiゼロデイ脆弱性を悪用しフランスを標的に

投稿日 2025年7月2日

フランスの国家サイバーセキュリティ機関ANSSIは、フランス国内のさまざまな分野の組織を標的とした新たなサイバー侵入キャンペーンを確認しました。

このキャンペーンは2024年9月に検知されましたが、2023年に遡る可能性もあります。Houkenと名付けられたこの侵入セットは中程度の高度さを持ち、ゼロデイ脆弱性の悪用、中国起源とみられるオープンソースツール、高度なルートキット、そして商用の仮想プライベートネットワーク(VPN)ソリューションや専用のコマンド&コントロール(C2)サーバーからなる攻撃インフラを含んでいます。

2025年7月1日にANSSIのコンピュータ緊急対応チーム(CERT-FR)が発表したレポートによると、Houken侵入セットはGoogle Threat Intelligence Group(GTIG)がUNC5174として以前に記述した脅威アクターと同一であると評価されています。UNC5174は中国国家安全省(MSS)の初期アクセスブローカーであると考えられています。

ANSSIは、この新たに特定されたキャンペーンにおいて、脅威アクターがHoukenを利用してネットワークへの初期アクセスを獲得し、それを情報収集を目的とする国家関与のアクターに販売している可能性が高いと推定しています。

さらに読む:中国国家系ハッカーが新たに公開されたIvantiの脆弱性を悪用

Ivanti脆弱性に関するANSSIの評価

2024年9月初旬、攻撃者はCVE-2024-8190、CVE-2024-8963、CVE-2024-9380というIvanti Cloud Service Appliance(CSA)に影響する3つの高〜重大なゼロデイ脆弱性を繰り返し悪用し、脆弱なデバイス上でリモートから任意のコードを実行しました。

攻撃者はこれら3つの脆弱性を連鎖させ、base64でエンコードされたPythonスクリプトを実行して認証情報を取得し、PHPウェブシェルを展開または作成したり、既存のPHPスクリプトを改変してウェブシェル機能を追加したり、場合によってはカーネルモジュール(ロードされるとルートキットとして機能)をインストールすることで永続化を確保しました。

これらの脆弱性は、それぞれ9月10日、9月15日、10月8日に修正されました。

さらに攻撃者は、脆弱性の影響を受けたウェブリソースを自らパッチ適用し、他の無関係なアクターによる悪用を防ごうとした可能性が高いとANSSIは述べています。

「場合によっては、Ivanti CSAデバイスの侵害によって被害者ネットワークへの足場を確立した後、攻撃者は偵察活動や横展開を行っていました」とANSSIは述べています。

3件のケースでは、Ivanti CSAデバイスの侵害後に被害者の内部情報システムへの横展開が行われました。

これらの攻撃は少なくとも2024年11月まで続き、フランスの政府、通信、メディア、金融、運輸分野の組織に影響を与えました。

「ANSSIはこれらの組織に対し、フォレンジック分析や是正措置の実施支援など、重要なサポートを提供しました」とレポートは述べています。

攻撃者のオペレーション活動のタイムゾーンはUTC+8であり、中国標準時(CST)と一致します。

Houken侵入セットの詳細

Houken侵入セットの攻撃インフラは、以下のような多様な要素で構成されていました:

  • ExpressVPN、NordVPN、Proton VPN、Surfsharkなどの一般的で公開されている匿名化サービスのIPアドレス
  • HOSTHATCH、ColoCrossing、JVPS.hostingがホストする主に仮想プライベートサーバー(VPS)などの専用サーバー
  • Comcast、中国聯通(China Unicom)、中国電信(China Telecom)、Airtelなどのインターネットサービスプロバイダー(ISP)

さらに、2024年9月以降のキャンペーンでのHoukenツールセットには以下が含まれていました:

  • GitHubで入手可能な多くのオープンソースツール(主に中国語話者によって作成されたウェブシェルなど、例:Neo-reGeorg)
  • 手作りのウェブシェル
  • Linuxカーネルモジュールおよびユーザースペースのバイナリ(ルートキットとして機能)

CERT-FRの研究者によると、脅威アクターは未熟な戦術と高度な戦術を混在させていました。

ノイズの多いオペレーションや汎用的な攻撃ツールの使用など一部の行動は、ツール開発のリソースが限られていることを示唆していましたが、ゼロデイ脆弱性の悪用やルートキットの展開は高度な技術力へのアクセスを示していました。

このようなスキルやリソースの違い、複数の商用VPN出口ノードや多様な専用サーバーの利用は、HarfangLabのサイバー脅威研究チームが2025年2月のレポートで述べているように、複数のアクターによるアプローチを反映している可能性があります。

フランス国内の標的以外にも、ANSSIのレポートはHoukenの背後にいる脅威アクターが広範な標的範囲を持ち、以下を優先していると指摘しています:

  • 中国近隣、特に東南アジア(例:タイ、ベトナム、インドネシア)の政府および教育分野に特化した組織
  • 中国国内外のNGO(香港やマカオを含む)
  • 政府、防衛、教育、メディア、通信分野に関連する欧米諸国の組織

翻訳元: https://www.infosecurity-magazine.com/news/chinese-hackers-france-ivanti/

Published in infosecurity-magazine-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です