Googleの脅威インテリジェンスグループ(GTIG)は、中国(PRC)と連携する脅威アクター「UNC6508」による高度かつ長期にわたるサイバースパイキャンペーンを明らかにしました。
このキャンペーンは、北米の学術機関・医療機関・軍事研究機関を組織的に標的とし、1年以上にわたって発覚を免れながら、国家安全保障に関わる機密データを密かに窃取し続けていました。
最初の侵害が確認されたのは2023年9月にさかのぼり、少なくとも2025年11月まで活動が継続されていました。
Googleによると、UNC6508は世界的に著名な臨床機関、一流の研究大学、軍の医療機関、医療規制当局など、研究予算の合計が数十億ドルに及ぶ多様な組織を標的にしていたといいます。
この脅威アクターが収集を優先したのは、インド太平洋軍の作戦に関する機密防衛情報のほか、人工知能、無人機システム、サイバー攻撃プログラム、医療研究に関する情報です。GTIGは、これらの優先事項が中国の戦略的利益と直接合致していると評価しています。
UNC6508が一貫して標的としたのは、REDCap(Research Electronic Data Capture)サーバです。REDCapは北米の医療研究コミュニティで広く利用されているウェブベースのデータベース・調査管理プラットフォームです。
GTIGは初期侵害の正確な手法を特定できていませんが、攻撃者は管理者が現行バージョンと並行して稼働させたままにしていた旧バージョンのREDCapを探索し、ダウングレード攻撃を可能にする脆弱な環境を狙っていたことが確認されています。
足がかりを確立した後、UNC6508は内部偵察を実施し、データベースおよびサービスアカウントの認証情報を収集。さらに「help.php」という名称のウェブシェルを展開して、永続的なアクセスとファイルアップロード機能を確保しました。
最初の侵害から3カ月後、UNC6508は「INFINITERED」と追跡されるカスタムマルウェアを展開しました。このマルウェアは正規のREDCapシステムファイルをトロイの木馬化するもので、3つのモジュール型コンポーネントで構成されています。
INFINITEREDのバックドアは複数のコマンドタグに対応しており、システムコマンドの実行(00)、ファイルのアップロード(02)、収集した認証情報の取得(03)、生のSQLクエリの実行(05)などが可能です。
最初のアクセスから1年以上が経過した後、UNC6508はREDCapから収集した認証情報を使用して、企業の管理者アカウントへの侵害に成功しました。
さらに攻撃者は、クラウドベースの生産性スイートに搭載された正規のコンテンツコンプライアンスルール機能を悪用しました。GTIGによると、この手法はPRC連携アクターでは過去に観測されたことのない新たな攻撃手法です。
UNC6508は「Patroit」(原文ママ)という名称のコンプライアンスルールを作成し、正規表現パターンを使用して軍事戦略、地政学的政策、医療研究に関連するキーワードを含むメールを検出しました。
該当するメールは、攻撃者が管理するアドレス BebitaBarefoot774[@]gmail[.]com に密かにBCC転送されていました。GTIGは発見後、直ちにそのアカウントを無効化しています。
UNC6508はキャンペーン全体を通じて入念な作戦セキュリティ(OpSec)を実践しており、すべてのトラフィックを米国内の難読化(OBF)ネットワーク——侵害済みルーター、住宅用プロキシ、VPSインフラの組み合わせ——経由でルーティングすることで、検知回避と帰属分析の妨害を図っていました。
注意:IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化(例:[.])されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻して使用してください。
GTIGはMandiant Consultingと連携してUNC6508のインフラを破壊し、被害を受けた組織への通知を完了しています。REDCapは直ちにパッチを適用し、すべてのレガシーバージョンを削除して、ダウングレード攻撃に悪用されるリスクを排除してください。
行動監視のためにWorkspace監査ログを含むSIEMログを有効化してください。GTIGはGoogle Security Operations(SecOps)を関連IOCで更新済みであり、防御担当者が自組織環境内の侵害を特定する際の支援に役立てることができます。
翻訳元: https://cyberpress.org/prc-linked-hackers-exploit-redcap/
