CrowdStrikeによると、中国政府が支援する脅威グループSilk Typhoonは、今春以降、北米の政府、テクノロジー、法律、専門サービスを標的とした攻撃のペースを上げているという。
「私たちはこれを冗談で『Murky Pandaの夏』と呼んでいました。なぜなら、ここ数ヶ月で彼らの活動が非常に多く見られたからです」と、CrowdStrikeの対敵対者作戦担当上級副社長アダム・マイヤーズ氏は、同社がこのサイバー諜報グループに付けた呼称を使って述べた。
マイヤーズ氏によると、CrowdStrikeは過去数ヶ月間にMurky Pandaが関与する十数件以上の事例に取り組んでおり、その中には2件のアクティブなインシデント対応案件も含まれている。このグループは少なくとも2023年から活動しており、「今夏、我々が多く目にしている中国の最上位脅威の一つ」だという。
Murky Pandaは、中国の攻撃者が脆弱性、管理されていないデバイス、クラウド、クラウドサービス間のピボットを通じて被害者のネットワークやインフラにアクセスしている様子を体現している。
CrowdStrikeは木曜日に公開した調査レポートの中で、このグループがクラウド環境で高度な技術を駆使し、クラウドソリューションプロバイダーの委任された管理者権限を悪用することで、下流の被害者への長期的なアクセスや横展開を可能にしていることが明らかになっていると述べた。
Murky Pandaがクラウドソリューションプロバイダーを侵害すると、アクセス権を与えたあらゆるクラウドテナントにアクセスできるようになるとマイヤーズ氏は述べた。このような「信頼関係の侵害」はクラウド上ではまれであり、Murky Pandaを含むごく少数のグループしか行っていないため、この初期アクセス手法は監視が行き届きにくく、検知が困難だという。
「多くの組織がここ数年で急いでクラウドを導入しましたが、クラウドの仕組みを十分に理解・認識しないまま導入した可能性があります」とマイヤーズ氏は付け加えた。
Murky Pandaの攻撃経路は多岐にわたる。同グループは、Citrix NetScaler製品に影響を与えるCVE-2023-3519や、Commvault Web Serverに影響を与えるCVE-2025-3928など、n-dayおよびゼロデイ脆弱性を迅速に悪用してきたとCrowdStrikeは述べている。
研究者らはまた、Murky Pandaが初期アクセスのために、小規模オフィス/家庭用デバイスを含むインターネット接続機器を悪用していることも観察している。
CrowdStrikeの調査結果は、Microsoft Threat Intelligenceが3月に発表したSilk Typhoonが2024年後半に戦術を変更し、初期標的の下流顧客への攻撃を可能にしたことを示す研究を拡張するものだ。
司法省は3月に、12人の中国人に対する起訴状を公開し、米政府機関への複数の攻撃を含む大規模な諜報活動への関与を訴追した。Silk TyphoonのメンバーとされるYin Kecheng氏とZhou Shuai氏もその中に含まれていた。
それでも、中国が支援する脅威グループによる攻撃は衰えていない。CrowdStrikeは、Murky Pandaに関連する攻撃を含め、中国が支援する脅威グループによるクラウド侵入活動が6月までに前年比40%増加したことを追跡している。中国に関連するあらゆる種類の侵入は同期間に150%増加した。
「中国から見られる多くの活動は、彼らが追求している地政学的な問題やイニシアチブに関連しています。Murky Pandaはその一部です」とマイヤーズ氏は述べた。中国が「自国の地政学的イニシアチブを推進するために攻撃的なサイバー手段を使い続ける限り、さらなる侵入が見られるでしょう」と語った。
翻訳元: https://cyberscoop.com/crowdstrike-silk-typhoon-murky-panda-china-espionage/