新興の中国系脅威アクターが、米国の学術・医療・軍事研究機関を少なくとも1年にわたって秘密裏に監視し、大規模な情報収集活動を展開していたことが明らかになりました。
このキャンペーンはGoogle脅威インテリジェンスグループ(GTIG)が発見したもので、研究者の間で広く利用されているWebアプリケーションから認証情報を窃取するカスタムマルウェアと、IT環境からデータを密かに持ち出す新手の手法が組み合わせて使われていました。GTIGはGoogleの子会社であるMandiant Consultingと協力して、この広範な作戦を発見・阻止しました。攻撃のターゲットは米軍と関係を持つ単一の医科大学のネットワークでしたが、多数の組織に影響が及んでいたことが、月曜日に公開されたレポートで明らかにされています。
Googleはこのキャンペーンを、UNC6508として追跡されているグループに帰属させています。同グループは比較的新しい中国系脅威アクターであり、「国家・州・民間を問わず多様な医療関連機関」を標的として、中国(PRC)の戦略的利益に沿った情報収集活動を行っていることが同レポートで指摘されています。
GTIGとMandiantの研究者によると、今回の活動で影響を受けた組織には、世界的に著名な臨床医療機関、一流の学術研究センター、北米の軍関連医療機関、専門職擁護団体、そして医療規制機関が含まれています。
レポートには「標的となった機関の研究分野は、分子探索や臨床薬物試験から、州レベルの公衆衛生政策、軍の即応態勢に至るまで、現代医学の幅広いスペクトルにわたっている。合計で数十億ドルに上る研究予算のもと、数千人の人員を擁している」と記されています。
UNC6508の活動範囲が示す驚くべき広がり
GTIGのシニアセキュリティエンジニアであるPatrick Whitsell氏はDark Readingに対し、中国系脅威アクターが米国組織に対してサイバースパイ活動を行ってきた長い歴史があるにもかかわらず、GTIGは今回の情報収集活動の規模に驚かされたと述べています。確かにこの活動は「歴史的なPRC(中国)の情報収集目的と一致してはいるものの、単一サイトにおけるこれほど広範な収集基準は極めて異例だった」と同氏は語っています。
「収集しようとした情報の範囲は、軍事戦略・軍事プログラム、外交政策、先端防衛技術、医学研究、そして防衛産業基盤に関わる企業にまで及んでいました。通常であれば、標的組織に特化した、より絞り込まれた情報収集を想定するところです」とWhitsell氏は話しています。
GTIGが確認している侵入の最初の活動は2023年9月に遡ります。当時、脅威アクターは臨床研究向けWebアプリケーションであるREDCap(Research Electronic Data Capture)が動作する大学の外部向けサーバを悪用していました。その後UNC6508は、REDCapの認証情報を窃取するためにInfinitered(インフィニタード)と名付けられたカスタムマルウェアを展開し、悪意ある活動を2025年11月まで継続的に行っていました。
当初、このグループは1年以上にわたって発見されることなく潜伏し、その後に窃取した認証情報を使って被害者の内部ネットワークへアクセスしました。最初の侵入から3ヵ月後には、外部向けWebアプリケーションへの侵害、専用マルウェアの展開、そしてエンタープライズ管理ツールの悪用による秘密のデータ窃取が行われていました。
「このデータが標的にされていたことは、攻撃者が作成した悪意あるコンプライアンスルール内の特定のキーワードを根拠に判断しました」とWhitsell氏はDark Readingに語っています。
悪意ある活動が継続された期間中の一般的な攻撃チェーンは次の通りです。まずREDCapサーバへの悪用、続いてInfinitered マルウェアの展開による認証情報の秘密裏な記録とアップグレードをまたいだ1年以上にわたる持続的潜伏、窃取した認証情報を使ったドメイン管理者アカウントへのアクセス、悪意あるコンテンツコンプライアンスルールの追加、そして戦略的なキーワードに合致するメールの脅威アクター管理アカウントへの転送という流れをたどっていました。
新手の手法が示す中国系アクターの進化
GTIGによると、このキャンペーンには高度なPRC系活動に見られる典型的な特徴、たとえば標的ネットワークへの長期にわたる秘密アクセスなどが見受けられました。また、InfiniteredマルウェアはREDCapサーバ専用に調整されており、他の環境では動作しないように設計されています。この点は「高度なPRC系アクターの巧妙な戦術と一致する、ターゲットを絞った技術力の水準を示している」とWhitsell氏は述べています。実際、こうしたアクターは「高価値な環境を標的にする際、専門的なソフトウェアや機器を戦略的にリバースエンジニアリングする傾向がある」と同氏は指摘しています。
一方で、他の手法は中国系脅威アクターの標準的な手口からの逸脱を示していました。その一つがデータの持ち出し方法であり、ドメインのコンテンツコンプライアンスルールを操作するという新手かつ「創意工夫に富んだ」技術が使われていたとWhitsell氏は述べています。
「この技術はマルウェアや標準的な『環境寄生型(living off the land)』ツールに頼らないため、従来のエンドポイントおよびネットワークセキュリティの制御を多数回避でき、検出が非常に困難です」と同氏はDark Readingに語っています。
UNC6508はまた、悪意ある活動を隠蔽する手法においても、他の中国系アクターとは異なるアプローチを採っていました。具体的には、標的環境と攻撃者インフラの両方へのアクセスに際し、難読化ネットワークとして米国内のIPアドレスのみを使用していました。
「通常、難読化ネットワークが使われる場合、使用されるIPはほぼランダムです。今回の事例は、オペレーション・セキュリティの綿密な管理と、標的が米国外からのIPログインを不審に思うだろうという理解を示しています」とWhitsell氏は述べています。
防御側が取るべき次の行動
中国を拠点とする敵対者は、米国の機関・組織に対してサイバースパイ活動を展開する国家支援グループの中でも最も活発なグループの一つです。GTIGとMandiantは、潜在的な標的となり得るあらゆる組織が今回の作戦の発覚を真剣に受け止めるべきだと強調しています。GoogleはUNC6508に関連する悪意あるインフラを停止させたほか、検出時に影響を受けた組織へ通知し、修復支援を提供しました。また、Google Security Operations(SecOps)に関連するインテリジェンスを反映させ、防御側が自社ネットワーク内で侵害の痕跡(IOC)を特定できるよう支援しています。
こうした最新情報やIOCへの注目に加え、攻撃者の手口による侵害を防ぐために「防御側が最優先で実施すべきこと」は、可能な限りすべてのアカウントにフィッシング耐性を持つ二要素認証を適用することだとWhitsell氏は述べています。「今日見られる多くの攻撃は、いまだに窃取した認証情報の使い回しに依存しています」と同氏は指摘しています。
その他の推奨事項としては、エンタープライズシステムやデータへの不正変更を検知するための監査ログの監視、機密データの共有を警告するDLPルールの有効化、そして最新のセキュリティパッチによるシステムの完全な更新が挙げられています。
翻訳元: https://www.darkreading.com/threat-intelligence/china-nexus-actor-us-researchers-undetected
