出典:ahc(Alamy Stock Photo経由)
新たに出現した中国の脅威アクターが、公開されている脆弱性のエクスプロイトを利用して国際的な政府機関をスパイしていることが判明しました。
サイバーセキュリティ研究者がソフトウェアの脆弱性に対する概念実証(PoC)エクスプロイトを公開する目的は、組織が自衛できるように情報を提供し、力を与えることです。しかし問題は、同じ情報が攻撃者にも利用可能となり、武器化されてしまうことです。実際、近年では攻撃者が組織よりも先にこれらのセキュリティ情報を見つけて行動に移すために時間と労力を投じています。
RedNovember(別名Storm-2077)は、脅威インテリジェンスベンダーのRecorded Futureによる新しいレポートによれば、この分野で他の誰よりも優れています。これは、世界で最も洗練され、資源の豊富な国家の一つに関連付けられた高度持続的脅威(APT)ですが、独自のマルウェアや手法は持っていません。その代わり、中国国家の利益と一致する形で、単に新しいPoCがウェブ上に公開された瞬間に他の組織よりも早く行動することで、価値の高い企業や政府機関への侵入に成功しています。新しいPoCがウェブに公開された時に、先手を打つのです。
「このトピックについて官民両方のセクターが引き続き議論を続けることが重要です」と、Recorded Futureの主任脅威インテリジェンスアナリストであるSveva Vittoria Scenarelli氏はメールで述べています。「脆弱性の公開は、ベンダー(またはプロバイダー)とその顧客の双方をより安全にするために慎重な方法で進めることができますが、このプロセスの進め方や公開の理由、方法、そして各組織の対応能力には大きな違いがあります。」
RedNovember:怠惰だが、時間厳守
昨年4月と5月、脅威アクターはCheck Pointセキュリティゲートウェイの任意ファイル読み取りの高深刻度脆弱性(CVE-2024-24919)をゼロデイとして悪用しました。ベンダーは5月下旬にこの問題を認識し、5月28日に修正を発表しました。その2日後、セキュリティ研究者が概念実証(PoC)を公開しました。
ゼロデイ脆弱性の悪用はRedNovemberの得意分野ではありません—おそらくそのための資源や能力、あるいは意欲がないのでしょう。その代わり、脆弱性の公開情報を常に監視し、公開PoCが出るとすぐに飛びつきます。CVE-2024-24919の公開からわずか4日後、RedNovemberがCheck Pointのゲートウェイを積極的に調査していた証拠があるとRecorded Futureは述べています。
同様のことは、同時期に発生したPalo AltoのGlobalProtectリモートアクセスプラットフォームに影響するCVSSスコア10点満点の任意ファイル作成脆弱性(CVE-2024-3400)にも当てはまります。RedNovemberは、SonicWall製品、Cisco Adaptive Security Appliance、F5 NetworkのBIG-IP、Sophos SSL VPN、Fortinet FortiGateインスタンス、Ivanti Connect Secure仮想プライベートネットワーク(VPN)機器など、他のエッジデバイスも標的にしています。
他人の研究成果を利用して脆弱性を悪用した後、RedNovemberは他人のマルウェアも展開します。Go言語ベースのLeslieLoaderを使って、SparkRAT(さまざまな中国のサイバーキャンペーンに関連するクロスOS情報窃取ツール)、Goベースのコマンド&コントロール(C2)フレームワークであるPantegana、広く使われているペネトレーションテストスイートのCobalt Strikeなどを展開します。
RedNovemberは、他の関連活動にもすべて商用ツールを使用しています。ExpressVPNのような商用VPNで自らのインフラに接続します。2025年4月、Recorded Futureの研究者は、RedNovemberがInternet ArchiveのWayback Machineを利用しているのを発見しました—これは通常、サイバーセキュリティ記者が使うツールであり、彼らが取材対象とする脅威アクターが使うものではありません。なぜ使っているのか正確には分かっていません。
Scenarelli氏は「RedNovemberはこれを偵察の一環として使っていたのかもしれません。例えば、組織のウェブページが時間とともにどのように変化したかを特定したり、検索時点でのウェブページの状態を確認したりするためです。あるいは、偵察活動に関連しそうな記事を読むために、出版物のペイウォールを回避しようとしていた可能性もあります」と推測しています。
地政学的変化と連動したスパイ活動
信じがたいことに、これらの比較的従来型で手間のかからないサイバー攻撃が、政府機関や機密分野の企業に対して一貫して成果を上げています。RedNovemberの被害者には、欧州の製造業者、米国の石油・ガス企業、東南アジア全域(中国を除く)の政府機関が含まれるとRecorded Futureは述べています。
そのキャンペーンは中国国家の利益と密接に一致しており、防衛・航空宇宙関連の西側組織や、アジアの外務省などが標的となっています。この点で、RedNovemberは他の多くの中国APTよりも分かりやすい存在です。
例えばパナマを考えてみましょう。中国の地政学的優先事項と結びつけられる最初の国ではありません。しかし、米国からの圧力を受け、パナマは中国との関係を断ちつつあります—一帯一路構想からの離脱、パナマ運河両端の2つの港の管理権を香港系企業から米国系企業に移そうとする動きなどです。2024年4月22日から24日にかけて、米国防長官ピート・ヘグセスの公式訪問直後、RedNovemberは金融、交通、国際関係、土地・経済開発、緊急サービスなど、ほとんどが政府関連の30以上のパナマの組織をスパイしました。
さらに懸念される事例は地球の反対側で発生しました。2024年12月9日、中国軍は台湾沖で軍事力を誇示する演習を開始し、約100隻の軍艦や船舶を戦時の戦闘・封鎖シナリオを模擬するために展開しました。研究者らは、まさにその日から1週間にわたり、RedNovemberが台湾の半導体研究開発拠点や台湾軍の空軍基地がある場所でサイバー偵察を行っていたことを突き止めました。
Scenarelli氏は「RedNovemberは、明確な戦略的関心事について、特定の時点で情報を収集または収集しようとしている可能性が非常に高い」と警告しています。
翻訳元: https://www.darkreading.com/threat-intelligence/chinese-apt-oss-pocs-spy-countries