コンテンツにスキップするには Enter キーを押してください

SentinelOne、中国のスパイ活動キャンペーンを発見し、そのインフラと顧客を標的に

投稿日 2025年5月1日

Image

サイバーセキュリティ企業のSentinelOneは、中国に関連する脅威クラスター「PurpleHaze」が、そのインフラと一部の高価値顧客に対して偵察を試みたことを明らかにしました。

「この脅威クラスターを初めて認識したのは、2024年にSentinelOneの従業員向けにハードウェア物流サービスを提供していた組織に対する侵入が行われた時でした」と、セキュリティ研究者のTom Hegel、Aleksandar Milenkoski、Jim Walterが月曜日に発表された分析で述べています。

PurpleHazeは、別の国家支援グループであるAPT15(Flea、Nylon Typhoon(旧Nickel)、Playful Taurus、Royal APT、Vixen Pandaとしても追跡されている)と緩やかに関連するハッキング集団と評価されています。

この敵対的集団は、2024年10月に南アジアの政府支援団体を標的にして、オペレーショナルリレーボックス(ORB)ネットワークとGoReShellと呼ばれるWindowsバックドアを使用していることも観察されています。

Goプログラミング言語で書かれたこのインプラントは、reverse_sshというオープンソースツールを再利用して、攻撃者の管理下にあるエンドポイントへのリバースSSH接続を設定します。

「ORBネットワークの使用は、これらの脅威グループの間で増加しているトレンドであり、サイバースパイ活動の追跡とその帰属を困難にする動的で進化するインフラを迅速に拡大することができます」と研究者たちは指摘しています。

さらに分析によれば、同じ南アジアの政府団体が2024年6月にも、広く中国関連のスパイ活動グループ間で共有されている既知のバックドアであるShadowPad(別名PoisonPlug)で標的にされたことが判明しました。ShadowPadは、PlugXと呼ばれる別のバックドアの後継と見なされています。

とはいえ、最近の数ヶ月でShadowPadがランサムウェアを配信するための手段としても使用されていることから、攻撃の正確な動機は不明のままです。ShadowPadのアーティファクトは、ScatterBrainと呼ばれる特注のコンパイラを使用して難読化されていることが判明しました。

2024年6月の活動とその後のPurpleHaze攻撃の間の重複の正確な性質はまだ不明ですが、同じ脅威アクターが背後にいる可能性があると考えられています。

ScatterBrainで難読化されたShadowPadは、製造業、政府、金融、通信、研究分野にわたる70以上の組織を標的にした侵入に使用されたと推定されています。これは、Check PointゲートウェイデバイスのN-day脆弱性をおそらく悪用した後のことです。

Image

これらの攻撃の被害者の一つには、当時SentinelOneの従業員向けのハードウェア物流を管理していた組織が含まれていました。しかし、サイバーセキュリティ企業は二次的な侵害の証拠は見つからなかったと述べています。

SentinelOneは、中国だけでなく、北朝鮮に関連するIT労働者が、約360の偽のペルソナと1,000以上の求人応募を通じて、同社やそのSentinelLabsインテリジェンスエンジニアリングチームでの職を得ようとする試みも観察したと述べています。

最後に、ランサムウェアオペレーターはSentinelOneや他の企業向けセキュリティプラットフォームを標的にし、彼らのツールにアクセスしてソフトウェアの検出回避能力を評価しようとしています。

これは、メッセージングアプリやXSS[.]is、Exploit[.]in、RAMPのようなフォーラムで、こうした企業向けセキュリティ製品へのアクセスを売買・貸し出す活発な地下経済によって支えられています。

「このエコシステムの周りには、様々なエンドポイント保護プラットフォームに対してマルウェアを密かに評価できる『EDR Testing-as-a-Service』などのサービスが登場しています」と研究者たちは説明しています。

「これらのテストサービスは、フル機能のEDRコンソールやエージェントへの直接アクセスを提供するわけではありませんが、攻撃者に半プライベートな環境を提供し、悪意のあるペイロードを微調整することができ、現実の攻撃での成功の可能性を劇的に向上させます。」

この脅威を新たなレベルに引き上げるランサムウェアグループの一つがNitrogenであり、ロシア国籍の人物によって運営されていると考えられています。通常のアプローチでは、内部関係者に接触したり、情報スティーラーのログから収集した正規の資格情報を使用しますが、Nitrogenは実在する企業を装う異なる戦略を採用しています。

これは、類似ドメインの設定、偽装されたメールアドレス、正規の企業を模倣したクローンインフラを通じて達成され、脅威アクターがEDRやその他のセキュリティ製品の公式ライセンスを購入できるようにします。

「この種のソーシャルエンジニアリングは精密に実行されます」と研究者たちは述べています。「Nitrogenは通常、小規模で審査が甘い再販業者を標的にし、やり取りを最小限に抑え、再販業者の一貫性のないKYC(顧客確認)手続きを利用して隙間をすり抜けます。」

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です