中国と関連するスパイ活動キャンペーンが、公開状態にあるREDCapサーバーを標的として「InfiniteRed」マルウェアを展開し、北米の医療機関から機密データを窃取していたことが明らかになりました。
Google Threat Intelligence Group(GTIG)の研究者らは、この攻撃を「UNC6508」として追跡中の脅威アクターによるものと分析しており、同アクターは1年以上にわたって被害者のネットワーク内で検出を免れていました。
REDCapプラットフォームは、医学・科学研究における規制に準拠したデータベースやサーベイの構築・管理を目的として、医療・研究分野で広く活用されています。
研究者らは正確な初期侵害ベクターを特定するには至りませんでしたが、UNC6508が旧バージョンの脆弱なREDCapを探索していたことを確認しました。
調査によると、当該医療研究機関への侵害は2023年9月に発生しており、悪意ある活動は2025年11月まで1年以上にわたって継続していました。
攻撃者より先に全防御レイヤーを検証
セキュリティチームが検知できる攻撃の成功は全体の54%にとどまり、アラートが上がるのはわずか14%です。残りの脅威は環境内を検出されることなく移動し続けています。
PicusのホワイトペーパーでBAS(侵害・攻撃シミュレーション)を活用し、SIEMおよびEDRのルールをテストして脅威の検知漏れを防ぐ方法をご確認ください。
ソース: bleepingcomputer.com
