出典:Alen Thien via Shutterstock
中東および東ヨーロッパの石油・ガス供給がますます混乱するにつれて、ロシアと中国に関連するサイバースパイ活動グループが経済的な影響に追随し、これまで関心を示していなかった国々を標的にしてきました。
最新の例として、中国に関連するFamousSparrowグループが、イラン、トルコ、ロシアの間に位置する南カフカス地域のアゼルバイジャンの石油・ガス企業を標的にしたと、サイバーセキュリティ企業Bitdefenderが本日発表した研究報告で述べられています。同グループは、ダイナミックリンクライブラリ(DLL)の独特なサイドローディング技術を使用し、いくつかの防御を回避してリモートアクセスツールをインストールしたと述べられています。運用技術(OT)ネットワークは影響を受けませんでした。
ロシアのサイバー脅威グループが同地域の企業を標的にしてきましたが、中国に関連するグループがアゼルバイジャンの産業で発見されたのは今回が初めてであると、Bitdefenderのテクニカルソリューション責任者マーティン・ズゲック氏は述べています。
「これまで見てきたすべてのことに基づくと、これは明らかに標的を絞った攻撃に見えます」と彼は言います。「中国に関連するAPTがロシアの伝統的な影響範囲に押し込んでいるのに対して、以前はそこから遠ざかっていました。」
アルメニア、アゼルバイジャン、ジョージアで構成される南カフカス地域は、欧州連合にとってますます重要なエネルギー回廊となり、過去5年間に56%増加したガス輸出で16カ国にサービスを提供しています。ロシアは伝統的に同地域に地政学的な関心を持ち、特に2008年の北ジョージア侵攻の周辺で、サイバースパイ活動とサイバー攻撃を影響力を行使する手段として頻繁に利用してきました。
最新の研究は、中国が南カフカスに独自のサイバー作戦で焦点を当て始めたことを示唆しています。
FamousSparrowはSalt Typhoonと共に集まっているのか?
Bitdefenderの研究によると、アゼルバイジャンでのFamousSparrow作戦は12月下旬に始まり、2月末まで続いたと見られています。攻撃で発見されたツールは改善の兆候を示しており、DLLを使用したマルウェアのサイドローディング用の2段階メカニズムの追加、およびDeed RATリモートアクセスツールへの修正が含まれています。
DLLサイドローディングの変更は、ペイロードを特定の実行パスの背後に配置し、アプリケーションが予想される命令シーケンスに従う場合のみ実行可能にします。これにより分析とサンドボックス検出がより困難になると、研究者は分析で述べています。
FamousSparrowは世界中の企業を標的にしてきましたが、アゼルバイジャンは新しい戦線を示しています。出典:Bitdefender
「悪意のあるライブラリは、ステージングとペイロードを準備するだけで実行しません。合法的な実行ファイルが実行プロセスを通過するにつれて、パズルのすべての小さなピースが配置され、その時突然それは悪意のあるものになります」とBitdefenderのズゲック氏は言います。「すべてのピースを単独で分析する場合、何も見えません。個別には悪意のある動作がありません。」
サイバーセキュリティ企業ESETによって2021年に最初に検出されたFamousSparrowは、ホテル、政府機関、および北米、ヨーロッパ、南米、中東の金融機関を標的にしてきました。アゼルバイジャンは新しい焦点のようにあると、ズゲック氏は言います。
他の研究者はFamousSparrowと悪名高いSalt Typhoonが同じグループ、または大きく重複するグループであると述べてきましたが、この2つを関連付けるのに十分な情報がないとESETのマルウェア研究者アレクサンドル・コテ・シール氏はFamousSparrowの最近の分析で述べています。マイクロソフトは元々Salt Typhoonという名前を付けたのであり、他の人が同じグループを分析しているかどうかを判断するのに役立つ侵害の兆候を発表していないと彼は述べています。
「FamousSparrowは他のグループとの緩い関係を持つ独特のクラスタのようです」とコテ・シール氏は述べており、Salt Typhoon(多くの人がEarth Estriesにもリンクしている)とGhostEmperorなどが挙げられます。「これらのリンクは、このすべての異なるアクティビティ・クラスタを1つに統合するのではなく、デジタルカルターマスターなどの共有する第三者の存在を仮定することで、より良く説明できると考えます。」
中国のAPTツール&マルウェアの中央武器庫?
中国の脅威グループの中央知識リポジトリは、中国の国家が後援する行為による1つの攻撃にツールやテクニックが表れると、しばしば中国にリンクされた他のグループに広がる傾向があるというBitdefenderの観察も説明します。
「これらすべてのグループで見ることができる1つのことは、1つが新しいテクニックを思い付くと、おそらくすべてがそれをコピーし始めることです」とBitdefenderのズゲック氏は言います。「中国のAPTでは、何が機能し、何が機能しないかについての一種の集中化された知識があることが見られています。」
一部の企業は、不十分なサイバーハイジーン衛生管理を通じてその知識を構築することを許可してきました。最新のケースでは、匿名の石油・ガス企業は特定のワークステーション上の攻撃を検出し、それらのシステムをクリーンアップしましたが、初期アクセスベクトルである脆弱なMicrosoft Exchangeサーバーは修正されませんでした。その結果、FamousSparrowは2つの後続の攻撃に襲われました。
完全なインシデント分析を実行し、脆弱なシステムにパッチを適用することは、攻撃者を排除する上で大いに役立つ可能性があるとBitdefenderのズゲック氏は言います。
「この攻撃は、被害者が私たちが何年も教えてきた基本的なセキュリティベストプラクティスに従うことで防ぐことができたでしょう」と彼は言います。「これは、根本的な問題を修正しなければ、彼らは戻ってくるという本当に良い例です。」
最新のDark Reading Confidentialポッドキャストをお見逃しなく、「USBペネトレーションテストのストーリーがどのようにバイラルになったか」。20年前、Dark Readingは最初のブロックバスター記事を投稿しました。信用組合の駐車場の周りに仕掛けられた親指ドライブをばらまき、好奇心旺盛な従業員に残りを任せたペンテスターによるコラムです。このエピソードは、その著者スティーブ・スタシウコニス氏とともに、歴史を作った記事を回顧しています。今すぐリッスン!
