CrowdStrikeによると、中国政府支援のハッカーグループ「Silk Typhoon」は、北米の組織に対する攻撃を強化しています。
このAPTは、2024年の米国財務省ハッキングの犯人とされており、政府、テクノロジー、学術、法律、専門サービス分野の重要な標的に対して、情報収集を目的とした攻撃が確認されています。
このグループを「Murky Panda」として追跡しているCrowdStrikeは、ハッカーがnデイおよびゼロデイ脆弱性を迅速に武器化し、被害者の環境への初期アクセスを得ていることを観測しました。また、SOHOルーターを侵害し、攻撃のインフラとして悪用している可能性もあるとしています。
「攻撃者はクラウドにおける信頼された関係を悪用し、運用セキュリティ(OPSEC)のレベルも高く、タイムスタンプの改ざんや被害者環境内の痕跡の削除などにより、検知や追跡を困難にしています」とCrowdStrikeは指摘しています。
Silk Typhoonは、CVE-2023-3519の影響を受けるCitrix NetScaler ADCおよびNetScaler Gatewayインスタンスや、ゼロデイとして悪用されたCVE-2025-3928のCommvault脆弱性を標的とし、Microsoft Azureインスタンスを侵害していました。
Commvaultは、Microsoftから顧客環境に対する国家支援型攻撃の警告を受けて、ゼロデイ攻撃の存在を知りました。調査の結果、Commvaultに保存されていた認証情報がゼロデイで盗まれ、それが被害者のM365環境へのアクセスに利用されていたことが判明しました。
「CrowdStrikeが分析した少なくとも2件のケースでは、Murky Pandaがゼロデイ脆弱性を悪用してSaaSプロバイダーのクラウド環境への初期アクセスを獲得していました。侵害後、Murky PandaはSaaSクラウド環境のロジックを把握し、そのソフトウェアへのアクセスを利用して下流の顧客へ横展開を行いました」とCrowdStrikeは説明しています。
この中国APTはまた、下流顧客へのクロステナントアクセス権を持つMicrosoftクラウドソリューションプロバイダーを侵害し、グローバル管理者権限を取得した上で、その権限をエスカレートさせてメールアカウントにアクセスし、情報収集を行ったとみられています。
広告。スクロールして続きをお読みください。
Silk Typhoonはまた、RDPやウェブシェル、時にはCloudedHopeのようなマルウェアも利用して、横展開や永続化を行っていました。CloudedHopeはGolangで開発されており、基本的なリモートアクセスツール(RAT)機能を備えています。
「クラウド環境に大きく依存する組織は、クラウドにおける信頼された関係の侵害に本質的に脆弱です。Murky Pandaのような中国関連の攻撃者は、洗練された手法を駆使してスパイ活動を実施し、世界中のさまざまな分野を標的にし続けています」とCrowdStrikeは指摘しています。
関連記事: 中国企業と国家支援型ハッカーが使用するツールとの関連を示すレポート
関連記事: 台湾のウェブホスティング企業が中国APTの標的に、高価値ターゲットへのアクセス狙う
関連記事: 中国の研究者、マスクのStarlink衛星対策にレーザーや妨害工作を提案
関連記事: Commvault脆弱性の悪用について企業に警告
翻訳元: https://www.securityweek.com/chinese-silk-typhoon-hackers-exploited-commvault-zero-day/